Ddos Attacke auf Router

Ddos-Angriff auf Router

Die Router sollten für Attacken ausgenutzt werden. Von der Telekom verkaufte Router sind durch Schädlinge gelähmt. Im bösartigen Code, der die Router lahmlegte, haben Stefan Ortloff von Kaspersky und Johannes B. Ullrich vom ISC ( "Internet Storm Center") Gemeinsamkeiten mit Mirai festgestellt. Bei Mirai handelt es sich um einen Schädling, der Zehntausende von Netzwerkgeräten wie IP-Kameras und digitalen Videorecordern infiziert und einem Botnet zugefügt hat.

Mit diesem Botnet wurde ein riesiger DDoS-Angriff auf den DNS-Anbieter Dyn gestartet und damit mehrere beliebte Webseiten nicht oder nur über einen Umweg zugänglich gemacht. In der Zwischenzeit sollen auch Verbrecher das Botnet ausleihen. Den bisher namenlosen bösartigen Code, der jetzt die Speedport-Router angesteckt hat, wurde von Mirai übernommen und um weitere Funktionalitäten ergänzt, so Ortloff in seinem Blogbeitrag.

Da es imstande ist, im Netz nach Endgeräten mit dem selben Zugriffspfad zu suchen, kehrt es sehr rasch zurück - manchmal innerhalb von wenigen Augenblicken. Botnet: Ohne das Wissen des Besitzers können Angriffe einen Roboter auf einem Computer einrichten. Solche gehackten Computer werden als sogenannte Zoombies bezeichnet. Die Kriminellen benutzen sie unter anderem, um andere Computer zu verkrüppeln oder um Spam-Mails zu versenden.

Denial-of-Service Angriffe sind Versuche, so viele Anforderungen an einen bestimmten Service zu richten, dass er sie nicht mehr verarbeiten kann und seinen Service ablehnt, verzögert oder stoppt. Ein solcher abgestimmter Anschlag wird als Distributed Denial of Service, DDoS, bezeichnet. Dies ist fast jeder Computer, der auf das Netz zugreifen kann. Jeder Webauftritt wird auf einem eigenen Webserver mit einer bestimmten IP-Adresse gehostet.

Das Exploit ist ein Progamm, das die bekannten Bugs oder Gaps in einem anderen aufspürt. Zahlreiche Softwareanbieter sind gewillt, ihr Wissen von einem Hacker zu kaufen, wenn sie Programmlücken aufdecken. Gegenüber Mirai liegt der Hauptunterschied in den unterschiedlichen Sicherheitslöchern, die die neue Malware ausnutzen will. Beim Telekom-Router gibt es eine Lücke im Fernwartungszugriff, über die die Telekom die Einstellung der Endgeräte, den so genannten easySupport, verändern kann.

Er hat zwei große Sicherheitslücken, sagt der Wirtschaftsjournalist Hanno Böck: "Einerseits kann der Zugriff von jedem benutzt werden, nicht nur von der Deutschen Telekom. Eine Fehlermeldung "erlaubt die Ausführung von Befehlen auf den Router in trivialer Manier. Benutzer der betreffenden Router konnten sich nur durch Deaktivierung von EasySupport sichern.

Allerdings verbietet die Telekom dies anscheinend in ihren vertraglichen Bestimmungen, da Screenshots darauf hindeuten, dass der Kunde auf Zwitschern publiziert hat. Daß der bösartige Code nur die Netzanbindung der von der Telekom verkauften Router unterbrochen und damit auf sich aufmerksam gemacht hat, ist offensichtlich auf Programmierfehler der Verursacher zurückzuführen. Dazu Hanno Böck: "Eine Schnittstelle, die über das Netz zugänglich ist, stellt in der Regel ein potentielles Problem dar.

"Statt den Channel permanent für die Remote-Wartung offen zu lassen, könnte die Deutsche Telekom auch die Router so konfigurieren, dass sie beispielsweise einmal am Tag die Telekom-Server kontaktieren und nach Aktualisierungen nachsehen.

Mehr zum Thema