Cyberattacke auf DSL-Router am 27. November 2016

Eine Cyberattacke auf DSL-Router am 27. November 2016 führte in Deutschland zum Ausfall von rund einer Million DSL-Routern, hauptsächlich betroffen waren Geräte der Deutschen Telekom. Damit war er der größte Angriff dieser Art in Deutschland.^[1] In Großbritannien waren etwa 100.000 Kunden der Internetdienstanbieter Post Office, Kcom und TalkTalk betroffen.^[2][3]

Ziel des Angriffs war der Aufbau einer Verbindung mittels Fernwartungsprotokoll (TR-069) und das Einschleusen einer Schadsoftware über einen in der TR-069-Spezifikation nicht vorgesehenen Befehl des TR-064-Protokolls, um die Endgeräte in ein Botnetz zu integrieren.^[4] Der Angriff ging auf eine Anfang November 2016 bei Routern verschiedener Herstellern entdeckte Sicherheitslücke zurück.^[5][6] Die vom Ausfall betroffenen Geräte konnten jedoch nicht wie vorgesehen kompromittiert werden, sondern fielen durch einen Fehler in der Verarbeitung von mehreren nacheinander folgenden Datenpaketen aus.^[7]

Nach Angaben des britischen Telekommunikationsunternehmens Kcom und des Fachdienstes Securelist wurde für den Angriff die Malware Mirai verwendet,^[8][9] deren Quellcode Anfang Oktober 2016 veröffentlicht wurde und schon zuvor für verschiedene Attacken genutzt wurde.

Verlauf

Anfang November 2016 wurde bekannt, dass ein Router des irischen Telekommunikationsanbieters Eircom mittels des Fernwartungsprotokolls TR-069 Befehlsausführungen des verwandten TR-064-Protokolls über den TCP-Port 7547 zulässt.^[5] Die Soft- und Hardware des betroffenen Routers stammen von dem taiwanesischen Hersteller Zyxel. Über die TR-064-Befehle, die in der TR-069-Implementierung nicht vorgesehen sind, können sich Angreifer mit Hilfe eines Exploits Zugang zum Gerät verschaffen und es unter ihre Kontrolle bringen. Bereits am 8. November 2016 wurde hierfür ein entsprechender Proof of Concept veröffentlicht.^[10] Am 15. November wurde diese Sicherheitslücke von dem IT-Sicherheitsforscher Darren Martyn bestätigt,^[11] der am 22. November einen Exploit veröffentlichte.^[12] Ebenso konnte Martyn weitere für die Lücke anfällige Geräte identifizieren, darunter Geräte der Hersteller Aztech, D-Link, Digicom und T-Com/T-Home.^[6] Bis zum 28. November fand er 48 Geräte, die für die Sicherheitslücke anfällig sind.^[13]

Am 26. November verzeichnete das SANS Internet Storm Center einen sprunghaften Anstieg von Angriffen auf den im Standard für TR-069 vorgesehenen Port 7547 von IP-Geräten in Deutschland.^[14] Mit Hilfe von Honeypots konnte ermittelt werden, dass die Angreifer versuchen, über einen spezifischen TR-064-Befehl eine Schadsoftware auf die Geräte zu laden und diese auszuführen,^[15] die vergleichbar mit den Veröffentlichungen von Anfang November sind.

Im Zuge dieser Angriffe kam es in Deutschland zu ersten Störungsmeldungen von Kunden der Deutschen Telekom am Nachmittag des 27. November 2016. Die Störungen bezogen sich nicht auf bestimmte Regionen, sondern traten bundesweit auf; allerdings nur bei bestimmten DSL-Router-Typen. Den Höhepunkt erreichte die Attacke am Abend des gleichen Tages mit zeitweise 900.000 gestörten Internetanschlüssen in Deutschland. Betroffen waren hauptsächlich Kunden, die DSL-Router der Speedport-Modelle W 921V, W 921V Fibre, W 723V Typ B, W 503V Typ C, W 504V und Entry I des taiwanesischen Herstellers Arcadyan in Verwendung hatten.^[16][17][18] Kunden anderer Netzanbieter waren nicht betroffen.^[17]

Wie sich herausstellte, wurde weltweit eine Welle von versuchten Angriffen über das Kommunikationsprotokoll TR-069 registriert, um mittels TR-064-Befehle die Geräte zu kompromittieren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete, versuchten die Angreifer Schadsoftware auf die Geräte zu laden und diese ein IoT-Botnetz einzureihen, um über infizierten Geräte weitere zu attackieren.^[4] Es war der größte Angriff dieser Art in Deutschland. Betroffen waren Internetzugänge, Fernsehen über IP und Internettelefonie.^{[19][1][20][21]}

Im Falle der Telekom-Endgeräte wurde die Anfrage der Angreifer zum Aufbau einer Verbindung über den Port 7547 des TR-069-Protokolls akzeptiert und geöffnet.^[22] Gegen den zweiten Schritt des Angriffs, der mittels manipuliertem TR-064-Befehl erfolgte, um die Geräte zu kompromittieren, waren die Geräte allerdings immun, da der Angriff ein Linux-basiertes Betriebssystem voraussetzte, das auf den Telekom-Routern nicht installiert ist. Aufgrund der Flut von TR-069-Anfragen öffneten die Geräte eine Unzahl von Verbindungen und beendeten diese nicht wie vorgesehen, was sie zum Absturz brachte^[7] und vermutlich auf einen Fehler in der Router-Software zurückzuführen ist.^[4] Die Anfälligkeit für die Abstürze konnte am Morgen des 28. November 2016 durch die Aktualisierung der Geräte-Firmware behoben werden,^[23] wodurch sich die Zahl der betroffenen Anschlüsse deutlich reduzierte.^[24] Bis zum 29. November veröffentlichte die Telekom weitere Updates für die insgesamt sechs, von dem Ausfall betroffenen Arcadyan-Geräte.^[25]

Linus Neumann von Netzpolitik.org geht davon aus, dass die Totalausfälle nicht in der „Absicht des Angreifers“ lagen.^[26] Auch Hanno Böck von Golem.de spricht bei den Ausfällen der Telekom-Geräte von einem „Kollateralschaden“.^[4] Darren Martyn, der am 5. Dezember eine Liste von betroffenen Herstellern und Geräten veröffentlichte, kommt in seiner Analyse ebenfalls zu dem Entschluss, dass die Auswirkungen des Angriffs schlimmer hätten sein können, wenn die Angreifer klüger vorgegangen wären.^[27] In einer offiziellen Stellungnahme erklärte die Telekom, dass die „Angriffsmethodik […] auf einer Veröffentlichung im Internet von Anfang November 2016“ basiert.^[28]

Am 2. Dezember 2016 wurde bekannt, dass ab dem 26. November ebenfalls die Geräte von britischen Internet-Providern von Störungen mit gleicher Auswirkung wie bei den Telekom-Routern betroffen waren. So waren etwa 100.000 Post-Office- und 10.000 Kcom-Kunden betroffen, die Geräte des Herstellers Zyxel verwenden.^[2] TalkTalk spricht von einer „geringen Prozentzahl“ von Betroffenen mit Geräten von D-Link. Die Störungen konnten wie schon bei der Telekom, durch eine Firmware-Aktualisierung der Router behoben werden,^[29] mit Ausnahme von etwa 1.000 Kcom-Kunden, bei denen die automatische Aktualisierung fehlschlägt und weiteren Support benötigen.^[3]

Am 3. Dezember veröffentlichte Andrew Tierney vom IT-Sicherheitsunternehmen Pen Test Partners die Ergebnisse einer Analyse des Angriffs auf betroffene TalkTalk-Geräte.^[30] Demnach wurde offenbar versucht, die WLAN-Netzwerkdaten (SSID) und -Passwörter der Router zu entwenden. Als Maßnahme deaktivierte TalkTalk die TR-064-Schnittstelle und setzte die Geräte in den Auslieferungszustand zurück. Dennoch tauchten nach Medienangaben gestohlene Daten der WLANs im Internet auf.^[31] BBC News erhielt von einer unbekannten Person 100 von 57.000 Router-Datensätzen, die von diesem Angriff stammen könnten.^[32]

Der Gerätehersteller Zyxel, auf dessen Router die Sicherheitslücke entdeckt wurde, äußerte sich am 2. Dezember 2016 zu den Ereignissen.^[33] In einer Stellungnahme bestätigte Zyxel die Anfang November 2016 dokumentierte Angriffsmethode. Demnach sei es über die zum Internet offene Seite des Ports 7547 möglich, einen TR-064-Befehl zu senden, der nur für das lokale Netzwerk vorgesehen ist. Über diesen Weg ist es möglich, sich Zutritt zum Gerät zu verschaffen und Einstellungsänderungen vorzunehmen. Als Ursache wurden zwei Chipsätze mit bestimmten SDK-Versionen identifiziert, die von dem Chiplieferanten Econet stammen. Für Geräte, die sich noch innerhalb des Garantie- und Supportzeitraums befinden, bietet Zyxel entsprechende Aktualisierungen an, welche die Sicherheitslücke schließen.

Reaktionen

Die Angriffe wurden auch im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geschützten Regierungsnetz registriert, blieben aber aufgrund von Schutzmaßnahmen folgenlos. Das Nationale Cyber-Abwehrzentrum koordinierte nach Bekanntwerden unter Federführung des BSI die IT-Maßnahmen der Bundesbehörden.^[19]

Die Bundesregierung erklärte, die Störung wirke sich nicht auf die Arbeit der Bundesregierung aus; zeige aber die Bedeutung der Cybersicherheit.^[24]

Die Telekom kompensierte betroffene Kunden, die zusätzlich einen Mobilfunkvertrag hatten, mit einem kostenlosen Tages-Pass für den mobilen Internetzugang.^[20]

Der Bundesinnenminister Thomas de Maizière stellte aufgrund des Totalausfalls Pläne vor, eine „schnelle Eingreiftruppe“ zu gründen, die rund um die Uhr verfügbar sein und im Falle von schweren Attacken die angegriffene Infrastruktur vor Ort untersuchen können soll. Die Pläne finden sich in der Neufassung der Cyber-Sicherheitsstrategie, die im Herbst 2016 vom Kabinett beschlossen werden sollte. Eingreiftruppen soll es im Bundesamt für Verfassungsschutz (BfV) und dem Bundeskriminalamt (BKA) geben. Mit der Gruppe im Bundesamt für Sicherheit in der Informationstechnik würde es dann zunächst drei Eingreiftruppen geben.^[34]

Telekom-Chef Timotheus Höttges rief auf einer Konferenz zum Aufrüsten auf, worunter er die Schaffung einer „Cyber-NATO“ versteht.^[35]

Ermittlungen

Sprecher der Telekom sagten, dass es möglicherweise bei den Routerausfällen ein Eingriff von außen – und nicht ein „normaler“, aber ebenfalls „ärgerlicher“ Systemausfall war. Auf einen Hackerangriff wiesen Analysen der IT-Sicherheit und der Forensiker bei der Telekom hin.

Der Fachdienst Securelist analysierte die Protokolle und wies darauf hin, dass bei dem Angriff Strukturen zu erkennen seien, die auf die Verwendung einer Mirai-Applikation hindeuteten.^[8]

Die Staatsanwaltschaft Köln, Zentrale- und Ansprechstelle Cybercrime (ZAC) des Landes Nordrhein-Westfalen, hat am 29. November 2016 von Amts wegen „nach Paragraf 303 a und b des Strafgesetzbuches ein Verfahren gegen Unbekannt eingeleitet wegen Computer-Sabotage und Datenveränderung hauptsächlich bei Routern der Deutschen Telekom“. Mit den Ermittlungen ist das BKA beauftragt.^[36][37]

Knapp drei Monate nach den massiven Angriffen auf die Infrastruktur der Telekom wurde am 22. Februar 2017 ein Brite in London festgenommen. Kräfte der britischen National Crime Agency nahmen den 29 Jahre alten Mann an einem Londoner Flughafen fest. Ihm werde Computersabotage in einem besonders schweren Fall vorgeworfen, teilte das Bundeskriminalamt mit. Dem waren Ermittlungen von englischen, zypriotischen und deutschen Behörden unterstützt durch Europol vorausgegangen. Die Staatsanwaltschaft Köln beantragte die Auslieferung des Verdächtigen.^[38] Zum Prozessauftakt vor dem Kölner Landgericht am 21. Juli 2017 bekannte sich der 29-jährige Brite schuldig. Er handelte seinen Aussagen nach im Auftrag eines liberianischen Telekommunikationsunternehmens, wofür er 10.000 US-Dollar erhielt und nannte als Motiv Geldsorgen.^[39] Am 28. Juli wurde er zu einer Bewährungsstrafe von einem Jahr und acht Monaten verurteilt.^[40] Der Verurteilte wurde Anfang September 2017 nach Großbritannien ausgeliefert, wo ihm vorgeworfen wird, Angriffe auf die Infrastruktur der Lloyds Banking Group und gegen Barclays durchgeführt zu haben, und in der Folge versucht haben soll die Finanzdienstleister zu erpressen.^[41]

Literatur

• Jörg Diehl, Marcel Rosenbach: Angriffe zum Mieten. Warum vor einem Jahr mehr als eine Million Telekom-Router ausfielen. In: Der Spiegel. Nr. 49, 2017, S. 76–77 (online).