Cyberattacke auf DSL Router am 27 November 2016 Eine führte in Deutschland zum Ausfall von rund einer Million DSL Router

Anfang November 2016 wurde bekannt, dass ein Router des irischen Telekommunikationsanbieters Eircom mittels des Fernwartungsprotokolls TR-069 Befehlsausführungen des verwandten TR-064-Protokolls über den TCP-Port 7547 zulässt. Die Soft- und Hardware des betroffenen Routers stammen von dem taiwanesischen Hersteller Zyxel. Über die TR-064-Befehle, die in der TR-069-Implementierung nicht vorgesehen sind, können sich Angreifer mit Hilfe eines Exploits Zugang zum Gerät verschaffen und es unter ihre Kontrolle bringen. Bereits am 8. November 2016 wurde hierfür ein entsprechender Proof of Concept veröffentlicht. Am 15. November wurde diese Sicherheitslücke von dem IT-Sicherheitsforscher Darren Martyn bestätigt, der am 22. November einen Exploit veröffentlichte. Ebenso konnte Martyn weitere für die Lücke anfällige Geräte identifizieren, darunter Geräte der Hersteller Aztech, D-Link, Digicom und T-Com/T-Home. Bis zum 28. November fand er 48 Geräte, die für die Sicherheitslücke anfällig sind.

Am 26. November verzeichnete das SANS Internet Storm Center einen sprunghaften Anstieg von Angriffen auf den im Standard für TR-069 vorgesehenen Port 7547 von IP-Geräten in Deutschland. Mit Hilfe von Honeypots konnte ermittelt werden, dass die Angreifer versuchen, über einen spezifischen TR-064-Befehl eine Schadsoftware auf die Geräte zu laden und diese auszuführen, die vergleichbar mit den Veröffentlichungen von Anfang November sind.

Im Zuge dieser Angriffe kam es in Deutschland zu ersten Störungsmeldungen von Kunden der Deutschen Telekom am Nachmittag des 27. November 2016. Die Störungen bezogen sich nicht auf bestimmte Regionen, sondern traten bundesweit auf; allerdings nur bei bestimmten DSL-Router-Typen. Den Höhepunkt erreichte die Attacke am Abend des gleichen Tages mit zeitweise 900.000 gestörten Internetanschlüssen in Deutschland. Betroffen waren hauptsächlich Kunden, die DSL-Router der Speedport-Modelle W 921V, W 921V Fibre, W 723V Typ B, W 503V Typ C, W 504V und Entry I des taiwanesischen Herstellers Arcadyan in Verwendung hatten. Kunden anderer Netzanbieter waren nicht betroffen.

Wie sich herausstellte, wurde weltweit eine Welle von versuchten Angriffen über das Kommunikationsprotokoll TR-069 registriert, um mittels TR-064-Befehle die Geräte zu kompromittieren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete, versuchten die Angreifer Schadsoftware auf die Geräte zu laden und diese ein IoT-Botnetz einzureihen, um über infizierten Geräte weitere zu attackieren. Es war der größte Angriff dieser Art in Deutschland. Betroffen waren Internetzugänge, Fernsehen über IP und Internettelefonie.

Im Falle der Telekom-Endgeräte wurde die Anfrage der Angreifer zum Aufbau einer Verbindung über den Port 7547 des TR-069-Protokolls akzeptiert und geöffnet. Gegen den zweiten Schritt des Angriffs, der mittels manipuliertem TR-064-Befehl erfolgte, um die Geräte zu kompromittieren, waren die Geräte allerdings immun, da der Angriff ein Linux-basiertes Betriebssystem voraussetzte, das auf den Telekom-Routern nicht installiert ist. Aufgrund der Flut von TR-069-Anfragen öffneten die Geräte eine Unzahl von Verbindungen und beendeten diese nicht wie vorgesehen, was sie zum Absturz brachte und vermutlich auf einen Fehler in der Router-Software zurückzuführen ist. Die Anfälligkeit für die Abstürze konnte am Morgen des 28. November 2016 durch die Aktualisierung der Geräte-Firmware behoben werden, wodurch sich die Zahl der betroffenen Anschlüsse deutlich reduzierte. Bis zum 29. November veröffentlichte die Telekom weitere Updates für die insgesamt sechs, von dem Ausfall betroffenen Arcadyan-Geräte.

Linus Neumann von Netzpolitik.org geht davon aus, dass die Totalausfälle nicht in der „Absicht des Angreifers“ lagen. Auch Hanno Böck von Golem.de spricht bei den Ausfällen der Telekom-Geräte von einem „Kollateralschaden“. Darren Martyn, der am 5. Dezember eine Liste von betroffenen Herstellern und Geräten veröffentlichte, kommt in seiner Analyse ebenfalls zu dem Entschluss, dass die Auswirkungen des Angriffs schlimmer hätten sein können, wenn die Angreifer klüger vorgegangen wären. In einer offiziellen Stellungnahme erklärte die Telekom, dass die „Angriffsmethodik […] auf einer Veröffentlichung im Internet von Anfang November 2016“ basiert.

Am 2. Dezember 2016 wurde bekannt, dass ab dem 26. November ebenfalls die Geräte von britischen Internet-Providern von Störungen mit gleicher Auswirkung wie bei den Telekom-Routern betroffen waren. So waren etwa 100.000 Post-Office- und 10.000 Kcom-Kunden betroffen, die Geräte des Herstellers Zyxel verwenden. TalkTalk spricht von einer „geringen Prozentzahl“ von Betroffenen mit Geräten von D-Link. Die Störungen konnten wie schon bei der Telekom, durch eine Firmware-Aktualisierung der Router behoben werden, mit Ausnahme von etwa 1.000 Kcom-Kunden, bei denen die automatische Aktualisierung fehlschlägt und weiteren Support benötigen.

Am 3. Dezember veröffentlichte Andrew Tierney vom IT-Sicherheitsunternehmen Pen Test Partners die Ergebnisse einer Analyse des Angriffs auf betroffene TalkTalk-Geräte. Demnach wurde offenbar versucht, die WLAN-Netzwerkdaten (SSID) und -Passwörter der Router zu entwenden. Als Maßnahme deaktivierte TalkTalk die TR-064-Schnittstelle und setzte die Geräte in den Auslieferungszustand zurück. Dennoch tauchten nach Medienangaben gestohlene Daten der WLANs im Internet auf. BBC News erhielt von einer unbekannten Person 100 von 57.000 Router-Datensätzen, die von diesem Angriff stammen könnten.

Der Gerätehersteller Zyxel, auf dessen Router die Sicherheitslücke entdeckt wurde, äußerte sich am 2. Dezember 2016 zu den Ereignissen. In einer Stellungnahme bestätigte Zyxel die Anfang November 2016 dokumentierte Angriffsmethode. Demnach sei es über die zum Internet offene Seite des Ports 7547 möglich, einen TR-064-Befehl zu senden, der nur für das lokale Netzwerk vorgesehen ist. Über diesen Weg ist es möglich, sich Zutritt zum Gerät zu verschaffen und Einstellungsänderungen vorzunehmen. Als Ursache wurden zwei Chipsätze mit bestimmten SDK-Versionen identifiziert, die von dem Chiplieferanten Econet stammen. Für Geräte, die sich noch innerhalb des Garantie- und Supportzeitraums befinden, bietet Zyxel entsprechende Aktualisierungen an, welche die Sicherheitslücke schließen.

Die Angriffe wurden auch im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geschützten Regierungsnetz registriert, blieben aber aufgrund von Schutzmaßnahmen folgenlos. Das Nationale Cyber-Abwehrzentrum koordinierte nach Bekanntwerden unter Federführung des BSI die IT-Maßnahmen der Bundesbehörden.

Die Bundesregierung erklärte, die Störung wirke sich nicht auf die Arbeit der Bundesregierung aus; zeige aber die Bedeutung der Cybersicherheit.

Die Telekom kompensierte betroffene Kunden, die zusätzlich einen Mobilfunkvertrag hatten, mit einem kostenlosen Tages-Pass für den mobilen Internetzugang.

Der Bundesinnenminister Thomas de Maizière stellte aufgrund des Totalausfalls Pläne vor, eine „schnelle Eingreiftruppe“ zu gründen, die rund um die Uhr verfügbar sein und im Falle von schweren Attacken die angegriffene Infrastruktur vor Ort untersuchen können soll. Die Pläne finden sich in der Neufassung der Cyber-Sicherheitsstrategie, die im Herbst 2016 vom Kabinett beschlossen werden sollte. Eingreiftruppen soll es im Bundesamt für Verfassungsschutz (BfV) und dem Bundeskriminalamt (BKA) geben. Mit der Gruppe im Bundesamt für Sicherheit in der Informationstechnik würde es dann zunächst drei Eingreiftruppen geben.

Telekom-Chef Timotheus Höttges rief auf einer Konferenz zum Aufrüsten auf, worunter er die Schaffung einer „Cyber-NATO“ versteht.

Sprecher der Telekom sagten, dass es möglicherweise bei den Routerausfällen ein Eingriff von außen – und nicht ein „normaler“, aber ebenfalls „ärgerlicher“ Systemausfall war. Auf einen Hackerangriff wiesen Analysen der IT-Sicherheit und der Forensiker bei der Telekom hin.

Der Fachdienst Securelist analysierte die Protokolle und wies darauf hin, dass bei dem Angriff Strukturen zu erkennen seien, die auf die Verwendung einer Mirai-Applikation hindeuteten.

Die Staatsanwaltschaft Köln, Zentrale- und Ansprechstelle Cybercrime (ZAC) des Landes Nordrhein-Westfalen, hat am 29. November 2016 von Amts wegen „nach Paragraf 303 a und b des Strafgesetzbuches ein Verfahren gegen Unbekannt eingeleitet wegen Computer-Sabotage und Datenveränderung hauptsächlich bei Routern der Deutschen Telekom“. Mit den Ermittlungen ist das BKA beauftragt.

Knapp drei Monate nach den massiven Angriffen auf die Infrastruktur der Telekom wurde am 22. Februar 2017 ein Brite in London festgenommen. Kräfte der britischen National Crime Agency nahmen den 29 Jahre alten Mann an einem Londoner Flughafen fest. Ihm werde Computersabotage in einem besonders schweren Fall vorgeworfen, teilte das Bundeskriminalamt mit. Dem waren Ermittlungen von englischen, zypriotischen und deutschen Behörden unterstützt durch Europol vorausgegangen. Die Staatsanwaltschaft Köln beantragte die Auslieferung des Verdächtigen. Zum Prozessauftakt vor dem Kölner Landgericht am 21. Juli 2017 bekannte sich der 29-jährige Brite schuldig. Er handelte seinen Aussagen nach im Auftrag eines liberianischen Telekommunikationsunternehmens, wofür er 10.000 US-Dollar erhielt und nannte als Motiv Geldsorgen. Am 28. Juli wurde er zu einer Bewährungsstrafe von einem Jahr und acht Monaten verurteilt. Der Verurteilte wurde Anfang September 2017 nach Großbritannien ausgeliefert, wo ihm vorgeworfen wird, Angriffe auf die Infrastruktur der Lloyds Banking Group und gegen Barclays durchgeführt zu haben, und in der Folge versucht haben soll die Finanzdienstleister zu erpressen.

• Jörg Diehl, Marcel Rosenbach: Angriffe zum Mieten. Warum vor einem Jahr mehr als eine Million Telekom-Router ausfielen. In: Der Spiegel. Nr. 49, 2017, S. 76–77 (online). 

1. ↑ Telekom: Internet-Ausfall in 900.000 Haushalten. In: Die Welt. Abgerufen am 1. Dezember 2016. 
2. ↑ Talk Talk and Post Office routers knocked offline in cyber attack. In: The Telegraph. 1. Dezember 2016, abgerufen am 1. Dezember 2016. 
3. ↑ 100.000 Kunden in Großbritannien von Störungen betroffen. In: Golem.de. 2. Dezember 2016, abgerufen am 1. Dezember 2016. 
4. ↑ Hanno Böck: Telekom-Routerausfälle waren nur Kollateralschaden. In: Golem.de. 29. November 2016, abgerufen am 3. Dezember 2016. 
5. ↑ Eir’s D1000 Modem Is Wide Open To Being Hacked. In: Reverse Engineering Blog. 7. November 2016, abgerufen am 1. Dezember 2016. 
6. ↑ Bobby ’Tables: Twitter. 23. November 2016, abgerufen am 3. Dezember 2016: „Vendors who ship devices vulnerable to TR-06FAIL: ZyXEL, D-Link, T-Com/T-Home, Digicom, Aztech (so far). Yes, the bug gets a name now ;)“ 
7. ↑ Protokoll des Mega-Angriffs auf die Deutsche Telekom. In: Wirtschaftswoche. 2. Dezember 2016, abgerufen am 3. Dezember 2016. 
8. ↑ New wave of Mirai attacking home routers – Securelist. In: securelist.com. 28. November 2016, abgerufen am 28. November 2016. 
9. Sh… IoT just got real: Mirai botnet attacks targeting multiple ISPs. In: The Register. 12. Dezember 2016, abgerufen am 3. Dezember 2016. 
10. Kenzo: Eir D1000 Wireless Router - WAN Side Remote Command Injection (Metasploit). In: www.exploit-db.com. Abgerufen am 1. Dezember 2016. 
11. Bobby ’Tables: Twitter. 15. November 2016, abgerufen am 3. Dezember 2016: „Well shit. In this screenshot, we have exploitation over LAN. It also works over WAN, but not wanting to disclose my DDoS digits ;)“ 
12. Darren Martyn: TR-064 Implementation Failures. In: LinkedIn. 22. November 2016, abgerufen am 3. Dezember 2016. 
13. Bobby ’Tables: Twitter. 28. November 2016, abgerufen am 3. Dezember 2016: „Currently listing 48 devices vulnerable to the main TR-064/TR-069 issue. Scans will reveal more. Not scanning for the cmd inject though.“ 
14. TCP/UDP Port Activity - SANS Internet Storm Center. In: SANS Internet Storm Center. Abgerufen am 1. Dezember 2016. 
15. TR-069 NewNTPServer Exploits: What we know so far - SANS Internet Storm Center. In: SANS Internet Storm Center. 29. November 2016, abgerufen am 1. Dezember 2016. 
16. Telekom Hilft, Update vom 28. November 2016, 18:30
17. ↑ Telekom-Ausfälle durch Hacker-Attacke. In: n-tv.de. 28. November 2016, abgerufen am 28. November 2016. 
18. Was passiert ist, wer dahinter steckt, was Kunden tun können. In: Tagesspiegel. 28. November 2016, abgerufen am 28. November 2016. 
19. ↑ Netzstörung: Hinweise auf Hackerangriff verdichten sich. In: Die Zeit. 28. November 2016, abgerufen am 1. Dezember 2016. 
20. ↑ Telekom-Störung: BSI vermutet weltweiten Hackerangriff. In: Spiegel Online. 28. November 2016, abgerufen am 1. Dezember 2016. 
21. German Internet Outage Was Failed Botnet Attempt: Report. In: The New York Times. 28. November 2016, abgerufen am 28. November 2016. 
22. Were 900K Deutsche Telekom routers compromised by Mirai? In: comsecuris. 29. November 2016, abgerufen am 30. November 2016. 
23. Jan-Frederik Timm: Telekom DSL-Störung: Speedport W 723V Typ B & 921V erhalten Updates. In: ComputerBase. 28. November 2016, abgerufen am 3. Dezember 2016. 
24. ↑ Frank-Thomas Wenzel: Telekom: BSI vermutet Hacker-Angriff. In: Frankfurter Rundschau. 27. November 2016, abgerufen am 3. Dezember 2016. 
25. Telekom DSL-Störung: Speedport W 723V Typ B & 921V erhalten Updates (Artikel-Aktualisierung). In: ComputerBase. 29. November 2016, abgerufen am 4. Dezember 2016. 
26. Linus Neumann: TR-069, die Telekom, und das, was wirklich geschah. In: netzpolitik.org. 30. November 2016, abgerufen am 30. November 2016. 
27. Darren Martyn: TR-064: When Shoddy Implementations Come Back to Haunt You. In: LinkedIn. 5. Dezember 2016, abgerufen am 11. Dezember 2016. 
28. Mythos offene Schnittstelle: Was wirklich geschah. Deutsche Telekom, 30. November 2016, abgerufen am 3. Dezember 2016. 
29. Mark Jackson: UPDATE KCOM’s Broadband ISP Routers Infected by the Mirai Worm. In: ISPreview. 1. Dezember 2016, abgerufen am 14. November 2023 (englisch). 
30. Andrew Tierney: TalkTalk and other ISPs need to replace customer routers urgently. In: Pen Test Partners. 3. Dezember 2016, abgerufen am 11. Dezember 2016. 
31. Leo Kelion: TalkTalk wi-fi router passwords 'stolen'. In: BBC News. 5. Dezember 2016, abgerufen am 11. Dezember 2016. 
32. Leo Kelion: TalkTalk’s wi-fi hack advice is 'astonishing'. In: BBC News. 7. Dezember 2016, abgerufen am 11. Dezember 2016. 
33. Zyxel statement for the TR-064 protocol implementation in CPEs. Zyxel, 2. Dezember 2016, abgerufen am 3. Dezember 2016. 
34. Cybersicherheit: Bundesregierung plant schnelle Eingreiftruppen gegen Hackerangriffe. In: Spiegel Online. 7. Juli 2016, abgerufen am 30. November 2016. 
35. Torsten Kleinz: Telekom-Chef: Aufruf zu den Cyber-Waffen. In: Heise Online. Abgerufen am 1. Dezember 2016. 
36. BKA ermittelt nach Telekom-Hack. In: Wirtschaftswoche. 29. November 2016, abgerufen am 30. November 2016. 
37. Die Telekom ist noch mal davongekommen. In: Tagesspiegel. 29. November 2016, abgerufen am 30. November 2016. 
38. Nach Angriff auf Telekom: Mutmaßlicher Hacker gefasst. In: tagesschau.de. Abgerufen am 23. Februar 2017. 
39. (Nicht mehr online verfügbar.) In: Zeit Online. 21. Juli 2017, archiviert vom Original am 23. Juli 2017; abgerufen am 28. Juli 2017. 
40. Urteil im Telekom-Prozess: Bewährungsstrafe für 29-jährigen Hacker. In: Shz.de. 28. Juli 2017, abgerufen am 28. Juli 2017. 
41. Telekom-Hacker nach Großbritannien ausgeliefert. In: Golem.de. 1. September 2017, abgerufen am 2. November 2017.