Nov 29

Was am Adventswochenende als Netzausfall bei der Telekom begann, entpuppte sich bei genauer Analyse als weltweite Attacke auf  Router bei Privatkunden. Warum aber scheint es nur bei der Telekom diese auffälligen Folgen des Angriffes? Hier mal ein paar Hintergrundinfos zum „Netzausfall“ bei der Telekom.

Seit Sonntag dem 25. November 2016, greift ein unbekanntes BOT-Netz die Router auf dem Fernkonfigurationsport 7547 (TR069) an. Es ist kein gezielter Angriff auf Router bestimmter Marken, sondern ein breit gestreuter Angriff auf Router, die TR069 verwenden. Die Angriffe kommen von DSL-Routern aus Süd-Amerika. Der Angreifer versucht, über das Setzen von NTP-Servereinträgen Schadsoftware zu laden und zwar 7 ausführbare Dateien für verschiedenste Prozessoren, die man in solchen Routern vorfindet. Der Angriff funktioniert erfolgreich bei Routern, bei denen TR069 fehlerhaft implentiert ist. Die Details der Attacke können im „Internet Storm Center“ nachgelesen werden.

Die Telekom Speedports reagierten auf den Angriff mit einem Absturz. Daher hilft ein einfaches Neustarten des Gerätes. Da der Angreifer den Angriff allerdings in einem Rhythmus von 5 bis 10 Minuten wiederholt, stürzte der Router nach einem erneuten Angriff wieder ab. Die Kunden kommen dauerhaft nicht mehr online. Erst als die Telekom am Montag Vormittag die Ursache erkannte und den Port 7547 für Zugriffe von Aussen sperrte, wurde dieser Teufelskreis durchbrochen.

Im Normalfall sollte ein angegriffener Router nicht abstürzen, sondern für den Kunden unsichtbar zum Zombi in einem BOT-Netz werden. Der Absturz der Telekom Speedport-Router kam den Angreifern sicher ungelegen, denn 900.000 abstürzende Router erregen eine ungewollte Aufmerksamkeit . Die steigende Intensität des Angriffes läßt allerdings vermuten, dass der Angriff in anderen Ländern „erfolgreicher“ verlief als bei den Kunden der Telekom.

Wer seinen eigenen Router auf einen offenen TR069 Port testen möchte, kann dies beim Heise-Netzwerkcheck testen. Aktuell ist der Test allerdings überlastet. Generell sind leider auch Router gefährdet, die vom Kunden selbst konfiguriert werden, aber die Möglichkeit bieten, sich vom Provider konfigurieren lassen. Unklar ist auch noch, wie viele Router durch den Angriff kompromittiert wurden und ihre Besitzer ausspionieren könnten. Wer den Router eines Kunden kontrolliert, kann ihn fast nach Belieben ausspähen und den Rechnern im LAN Schadcode unterschieben. Die Telekom-Kunden haben zwar einige Stunden einen Ausfall gehabt, einen größeren Schaden haben ihre Geräte aber durch den Absturz verhindert.

geschrieben von Holger \\ tags: , , , , , ,

Hinterlasse ein Kommentar