Botnet Telekom

Bot-Netzwerk Telekom

um sie Teil eines so genannten Botnets zu machen. sollte betroffen sein und wahrscheinlich zu einem Botnet zusammengeführt werden. Rund ein Jahr nach einem Cyberangriff, der über eine Millionen seiner Routers lahmgelegt hat, hat die Telekom einen ähnlichen Anschlag auf die Netztechnologie des japanischen Providers Huawei festgestellt. Die Telekom teilte am vergangenen Donnerstag mit, dass sie einen Wartungshafen der Rumpfrouter von Huawei anpeilt, offenbar mit dem Zweck, ein Botnetz aus geheimen entführten Rechnern aufzubauen. Zu Beginn dieser Kalenderwoche waren in der Spitzenzeit 200.000 Rechenpakete pro Stunde erfasst worden - ein ungewöhnlicher Umfang.

Nach Angaben der Telekom ist Deutschland nicht davon berührt. Die ersten Anzeichen für den Angriffsaufbau wurden bereits Ende Oktober gegeben. Nach Angaben der Telekom stammt der urspruengliche Angriff von einem russischen Gast. Während des Angriffs wurde der Softwarecode in zwei Stufen von einem niederländischen und dann von Russland nachgeladen.

Die " Speedport " Router der Telekom wurden im vergangenen Jahr durch einen Anschlag, der sie in ein Botnetz einbinden sollte, vorübergehend gelähmt. Rund 1,25 Mio. Telekom-Kunden hatten zum Teil Störungen im Bereich des Internets, der Telefonie und des Fernsehens. Dabei handelte es sich um einen globalen Anschlag, der nicht spezifisch auf Telekommunikationsrouter ausgerichtet war.

Botnet: Ausfälle von Telekom-Routern waren nur Kollateralschäden.

Die Telekom-Kundinnen und -Anwender haben seit dem vergangenen Wochenende mit einer Reihe von Betriebsunterbrechungen zu tun. Zuständig ist wahrscheinlich ein Botnet, das auf dem Coding von Mirai aufbaut. Die Telekom-Router waren jedoch nicht unmittelbar betroffen von dem Botnet. Dies belegt eine Untersuchung von Ralph-Philipp Weinmann von Comsecuris. Die von der Telekom vertriebenen Speedport-Router unterstuetzen auch TR-069, einen Dienst, der auf dem Netzwerk-Port 7547 abläuft.

Allerdings laufen laut Comsecuris die betreffenden Router-Modelle - zum Beispiel der Speed-Port Wi921V - überhaupt nicht auf einem Linux-System, sondern auf dem Embedded-Betriebssystem RTOS. Nicht die Telekom selbst stellt die Geschwindigkeitsrouter her, sondern die Taiwanesin Arcadyan ist für die betreffenden Modelle zuständig. Die Comsecuris konnte feststellen, dass die Routers die Netzwerkverbindung ablehnten, nachdem mehrere Versuche des Mirai Botnets, den Router anzugreifen, empfangen worden waren.

Obwohl die betreffenden Speedport-Geräte nicht von der Skript-Injektionslücke beeinträchtigt werden, die vom Mirai-Botnet ausgenutzt wird, stellt Comsecuris fest, dass es andere Schwachstellen in den Routing-Diensten aufgedeckt hat. Sie hatte der Telekom die Einzelheiten vorgelegt. Das Schwachstellenproblem, das für das Botnet verantwortlich ist, wurde erstmalig am 17. Oktober für einen vom Irischen ISP Eir verwendeten Routers dargestellt.

Die gleiche Diskrepanz erscheint jedoch in einer ganzen Palette von Endgeräten gegeben, jedoch nicht, wie ursprünglich bei den Speedport-Routern der Telekom vermutet.