Mittwoch, 30. November 2016
Telekom Router: dDoS statt "Häcker"
Vorgestern gab im Netz der Telekom große Aufregung, weil ca. 900.000 DSL-Anschlüsse der Telekom nicht mehr funktionierten. Den ganzen Tag über gab es diverse Meldungen und Mutmaßungen zu der Ursache. Beispiel:
Der Vorfall dürfte bisher einmalig sein: Seit Sonntagnachmittag haben Hunderttausende Festnetzkunden der Telekom mit Anschlussproblemen zu kämpfen. Der Konzern schien zunächst ratlos, konnte die Ursache für die Ausfälle nicht finden, gab nur den Rat, doch mal Internetrouter neu zu starten. Jetzt meldet sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Wort. Dessen Experten zufolge habe es sich um einen gezielten Angriff gehandelt.

Dass die Probleme mit den Routern auf einen Hackerangriff zurückzuführen sein könnten, hatte zuvor auch die Telekom nicht ausgeschlossen. Allerdings hatte der Konzern angekündigt, es könne Tage dauern, bevor diesbezügliche Untersuchungen zu einem Ergebnis kommen.

Beim BSI ist das offenbar anders. Man ordne den Ausfall "einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu", heißt es in einer Pressemitteilung des Bundesamts. Das Ziel der Angreifer sei es gewesen, die Geräte mit Schadsoftware zu infizieren.

(Quelle: Spiegel.de)
Seit gestern geistert eine "Häcker"-Attacke als Ursache durch die Medien, auch die Süddeutsche (konkret: Varinia Bernau) machte in der Printausgabe mit der Überschrift "" auf Seite 1 auf die bösen Häcker aufmerksam
Cyber-Angriff auf Deutsche Telekom

Das Bundesamt für Informationstechnik spricht von einer weltweiten Attacke auf die Router der Kunden. Bundesweit sind fast eine Million Haushalte stundenlang von Festnetz und Internet abgeschnitten

Düsseldorf – Nach massiven Störungen bei Festnetzanschlüssen der Deutschen Telekom geht der Konzern Spuren einer Attacke nach. „Wir gehen davon aus, dass wir Opfer eines Hacker-Angriffs geworden sind“, sagte ein Sprecher. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das den Vorfall analysiert, nimmt an, dass es einen weltweiten Angriff auf Router gab. Diese Geräte dienen als Vermittlungsstelle, um ins Internet zu gelangen. Über spezielle Systeme können auch Techniker der Telekom darauf zugreifen, etwa um eine Panne zu beheben. Über dieses System wollten nun Hacker Schadsoftware auf die Router spielen.

Laut BSI waren die Angriffe auch in dem von der Behörde selbst geschützten Regierungsnetz bemerkbar, konnten dort aber abgewehrt werden. Auch die Router in den Haushalten der Telekom-Kunden haben dem Angriff standgehalten: Sie haben sich zwar ausgeschaltet und damit den Kunden den Zugang zum Netz verweigert. Dafür konnten die Angreifer aber keine Schadsoftware einschleusen.
(Quelle: S. 1 der Printausgabe der Süddeutschen Zeitung vom 29.11.2016
Ähnlich auch die "Tagesschau":
Nach dem Hackerangriff auf die Telekom hat sich die Zahl der betroffenen Router drastisch verringert. Die Probleme sollen heute behoben werden. Nun ermittelt die Staatsanwaltschaft - und Forderungen nach besseren Sicherheitsstandards werden lauter.

Die Deutsche Telekom will die Probleme mit ihren Routern im Laufe des Tages vollständig beheben. "Die Zahl der akut betroffenen Router ist von 900.000 dramatisch zurückgegangen, wir gehen davon aus, dass wir heute keine Probleme mehr sehen werden", sagte Telekom-Sprecher Georg von Wagner im RBB-Inforadio. Laut Konzern sind zwischen 60 und 70 Prozent aller Störungen behoben.
(Quelle: Tagesschau.de)
Neuerdings gibt es Meldungen, wonach die "böse" Häcker-Attacke schlicht eine Reaktion auf eine Überlast durch dDoS-Zugriffe auf Port 7547 war...
...
Derzeit werden alle Systeme im Internet im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert. Diese versuchen, eine Sicherheitslücke auszunutzen, die ein Nutzer namens "kenzo2017" am 7. November 2016 in einem Blog veröffentlichte. Sie bezog sich auf Zyxel-Router, die der irische Provider Eir an seine Kunden verteilte. Deren Linux-Betriebssystem ließ sich durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen. Die derzeit grassierenden TR-069-Angriffe sind zum Großteil auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers zurückzuführen.

Speedport ohne Linux
Nun handelt es sich bei den betroffenen Speedports der Telekom nicht um Zyxel-Router, ja nicht einmal um Router auf Linux-Basis. Vielmehr setzt der taiwanische Hersteller Arcadyan ein eigenes Echtzeitbetriebssystem ein, das gerüchteweise den Namen "SuperTask" trägt. Und dessen TR-069-Implementierung ist auch nicht für den NewNTPServer-Fehler anfällig, wie Weinmann herausfand. Als er sein Testgerät mit diesem Angriff attackierte, geschah – gar nichts. Erst als Weinmann das Gerät wiederholten Angriffen aussetzte, verweigerte es irgendwann den Dienst und stellte alle Netzwerk-Aktivitäten ein.
...
(Quelle: heise.de)
Die Entwicklung von "900.000 Router funktionieren nicht" über "Häcker nutzen Linux-Lücke auf Speedport-Routern zu einem Cyber-Angriff" zu "ist nur dDoS - Speedport-Router haben kein Linux" ist schon bemerkenswert. Noch bemerkenswerter allerdings ist, dass das BSI, also das "Bundesamt für Sicherheit in der Informationstechnik" da doch leicht auf dem falschen Dampfer vorwärts gestürmt ist:
Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

"In dem am 9. November vorgestellten Bericht zur Lage der IT-Sicherheit in Deutschland haben wir auf die Gefahren durch Hackerangriffe insbesondere für Kritische Infrastrukturen hingewiesen. In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken", erklärte BSI-Präsident Arne Schönbohm.
(Quelle: Pressemitteilung BSI vom 28.11.2016)
Entweder hat das für die Gefahrenabwehr im Internet zuständige Amt sich geäußert, ohne sich die Sache genauer anzusehen. Einfach nur dumm.

Oder man wollte einen mögliches Sicherheitsproblem medial aufwerten, um die eigene Wichtigkeit zu betonen, eventuell dann auch mehr Mittel und Rechte zu bekommen. Noch dümmer, wenn dann das Sicherheitsproblem gar nicht das Problem war...

... link (0 Kommentare)   ... comment ...bereits 507 x gelesen