Verschlüsselung & Datensicherheit

Kaspersky meldet: Mirai- Malware steckt hinter Telekom Attacke

Kaspersky meldet: Mirai- Malware steckt hinter Telekom Attacke
Die Deutsche Telekom war Ziel einer bundesweiten Attacke durch das Mirai-Botnetz

Im Zusammenhang mit den gestern und vorgestern in Deutschland bekannt gewordenen Router-Ausfällen konnten die Experten von Kaspersky Lab einen analysierten Code der Mirai-Malware zuordnen. In den vergangenen Wochen wurde das Mirai-Botnetz  mit verschiedenen Cyberattacken in Verbindung gebracht. Die Frage ist nun: Wie gefährdet sind andere kritische Infrastrukturen?

Hacker-Angriff auf Telekom-Router

Auch n-tv.de berichtete aktuell über die Hacker-Attacke vom Wochenende, die etwa 900.000 Telekom-Router außer Gefecht setzte. Weder Internet noch Telefonie funktionierten. Wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verlautete, hat man hier die Angriffe einem weltweit agierenden Botnetz zugeordnet. Das konnten nun die Telekom selbst und auch die IT-Sicherheitsexperten von Kaspersky Lab bestätigen.

Das Mirai Botnet

Grundlage des gefährlichen Botnets ist der Mirai Quellcode, der kürzlich öffentlich wurde. Wie trojaner-info.de dazu berichtete haben Hacker die Malware nun optimiert und ein riesiges Mirai-Botnet entwickelt, das bisherige Größenordnungen weit übertrifft. Sie bieten Kunden dieses Werkzeug an, um DDoS-Angriffe auszuführen.

Im Visier der Mirai Schadsoftware steht ganz speziell das Internet der Dinge (IoT). Dabei werden insbesondere Überwachungskameras, vernetzte Heizungssteuerungen und sogar Babyphones benutzt. Es sind internetfähige Geräte mit öffentlich bekannten voreingestellten Anmeldedaten bei denen die Kontrolle übernommen wird. Das ist allerdings nur möglich, weil zahlreiche Nutzer die Passwörter nicht ändern.

Mirai hat IoT-Geräte im Visier

Die Ausfälle bei Telekom-Routern waren Teil eines globalen Angriffs auf ausgewählte Fernverwaltungsports von DSL-Routern. Unbekannte Täter scannten offenbar weltweit DSL-Anschlüsse auf den offenen Netzwerkport TP7547, der für die Fernwartung genutzt wird. Hierüber können Netzbetreiber Änderungen und Software-Updates aus der Ferne vornehmen. Betroffen waren in Deutschland Modelle der Speedport-Reihe der Telekom, die vom taiwanischen Hersteller Arcadyan stammen. Der Angriff hatte offenbar das Ziel, die attackierten Geräte über eine Sicherheitslücke im Fernwartungsprotokoll mit Schadsoftware zu infizieren und sie zum Teil eines globalen Botnetzes zu machen, das auf dem Code von Mirai basiert, so n-tv.de.

Bereits in der Vergangenheit hat die Mirai-Malware große Schäden angerichtet. Beispielhaft steht hier die Attacke auf den DNS-Serviceanbieter Dyn, die letztlich zu Störungen bei beliebten Websites wie AirBnB, GitHub, Spotify, Reddit und Twitter führte. Diese waren lahmgelegt und über Stunden nicht erreichbar.

Sicherheitslecks bei vernetzten Geräten

Vernetzte Geräte sind das Ziel von Attacken der Mirai-Malware. Webcams, Drucker, Router, aber auch Baby-Monitore, die mit dem Internet verbunden, aber nicht ausreichend abgesichert sind, sind das bevorzugte Ziel von Attacken.

Der Experte Hanno Böck vom Fachportal „Golem“  kommentierte zu dieser Problematik:

"Es ist bekannt, dass die Sicherheit von nahezu allen IoT-Geräten lächerlich schlecht ist. Offene Telnet-Ports ohne Authentifizierung, Standard-Nutzernamen, banalste Sicherheitslücken - und vor allem: keine Security-Updates. Die Hersteller produzieren massenhaft unsichere Geräte und kümmern sich anschließend nicht um die Folgen. […] Die Branche zeigt keinerlei Bemühungen, die offensichtlichen Sicherheitsprobleme anzugehen - und die Zahl der Geräte steigt rasant an."

Der Kampf gegen Mirai

Laut Lagebericht zur IT-Sicherheit des BSI wird deutlich, dass vor allem IoT-Geräte ein nicht zu unterschätzendes Sicherheitsrisiko darstellen. Der Bericht "verdeutlicht eine neue Qualität der Gefährdung", nicht nur durch vermehrte Angriffe mit Ransomware, sondern auch durch die gezielte Attacken von ungesicherten vernetzen Geräten.

Von einer Möglichkeit die Mirai-Malware erfolgreich zu bekämpfen berichtete heise.de. Das ginge über Schwachstellen, die im Mirai-Quellcode selbst entdeckt wurden. Ein eigens entwickelter Wurm namens Nematode müsste zum Einsatz gebracht werden. Das ist aber nur über die gleichen Schwachstellen, die auch Mirai nutzt möglich. Doch eine derartige Verfahrensweise wäre in zahlreichen Ländern darunter auch in Deutschland strafbar.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben