Botnetz-Angriff tappte in die Honigfalle oder: Warum die Telekom Zombies sucht - und findet
Wer sicher sein will, muss über den eigenen Tellerrand schauen: Die Telekom Security macht dies mit digitalen Lockfallen. Jetzt hat sie damit einen weltweiten Botnetz-Angriff aufgedeckt.
Die Zeiten, in denen jedes Unternehmen nur den eigenen Vorgarten pflegte und darauf achtete, dass es nicht erfolgreich von Cyberkriminellen attackiert wird, sind längst vorbei. Wer sich heute gegen die immer feiner ausgefeilten Angriffe aus dem Netz schützen möchte, tauscht sich mit anderen über die neusten Methoden der Angreifer aus und beobachtet die Cyberlage weit über den eigenen Tellerrand hinaus.
Die Telekom-Tochter Telekom Security unterhält für einen solchen Blick über die Grenzen ihres eigenen Netzes hinweg seit einigen Jahren ein Netzwerk aus Sensoren in aller Welt. Diese so genannten Honeypots sollen bewusst Schwachstellen simulieren und damit Angriffe anziehen. Mit diesen digitalen Lockfallen können die Experten der Telekom Security erkennen, welche Ziele weltweit gerade auch außerhalb des eigenen Netzes angegriffen werden und mit Partnern an Gegenmaßnahmen arbeiten. Jetzt haben die Fachleute bemerkt, wie aktuell ein bestimmtes Routermodell des Herstellers Huawei angegriffen wird, um es in ein Botnetz zu integrieren. Wichtig: Die Deutsche Telekom hat das betroffene Routermodell nicht im Einsatz und auch keinen Hinweis darauf, dass es überhaupt von Internetnutzern in Deutschland eingesetzt wird. Aber weltweit gibt es Nutzer.
Der perfekte Fischzug
Die Kriminellen hatten ihre Tat gut geplant: Am 25. November 2017 registrieren die knapp 200 digitalen Lockfallen der Telekom erste kleinere Auffälligkeiten. Ein Warmlaufen, bevor es einen Tag vor Nikolaus, am 5. Dezember um 4.02 Uhr mitteleuropäischer Zeit richtig losgeht: Über fast 48 Stunden versucht der Angreifer massiv, weltweit über bereits infizierte Router weitere Router dem so genannten Satori-Botnetz einzuverleiben. Bis zu 200.000 Datenpakete pro Stunde, die versuchen, Router weltweit zu knacken, registrieren die Lockfallen der Telekom Security. Bei ihrem Vorhaben gehen die Angreifer in abgestuften Schritten vor, um ihre Spuren zu verwischen. Die Angriffe dauern in abgeschwächter Form bis heute an. BSI, Huawei und Telekom Security stehen dazu im Austausch.
Die Spur der Attacke lässt sich bis Russland verfolgen. Das bedeutet allerdings keineswegs, dass die Angreifer auch tatsächlich dort sitzen. Kriminelle verwischen ihre digitalen Spuren meist so geschickt und legen gleichzeitig falsche Fährten, dass keinerlei Rückschlüsse auf ihren Aufenthaltsort möglich sind. Vom Ursprung der Attacke aus befiehlt ein gefälschter Befehl anfälligen Routern, Software-Code von einem Server in den Niederlanden und in einem zweiten Schritt in Russland zu laden. Bereits infizierte Router wiederum werden so ferngesteuert, dass sie selbst nach weiteren verwundbaren Routern suchen. Ein gefährliches Schneeballsystem, das deutlich macht, wie wichtig es generell ist, seinen Router immer sicher zu halten. Tipps für einen sicheren Router haben wir übrigens hier zusammengestellt.
Botnetz stark gewachsen
Die Sicherheitsexperten schätzen, dass allein in dem Ausschnitt, den Telekom Security über ihre Honeypots untersuchen kann, bis zu 100.000 Router weltweit durch die jüngste Attacke in das Satori-Botnetz integriert wurden. Andere Quellen sprechen gar von über 200.000. Hinter den nüchternen Zahlen stecken in der Realität Cyberwaffen, deren Besitzer meist nicht im Entferntesten ahnen, wozu ihr Router oder andere vernetzte Geräte missbraucht werden.
Angegriffen und missbraucht werden längst nicht mehr nur Router, auch wenn die nach wie vor bei Cyberkriminellen hoch im Kurs stehen. Besonders beliebt sind mittlerweile auch vernetzte Sicherheitskameras, Fernseher oder Kühlschränke: Immer oder oft online, leistungsstark und oft schlecht geschützt. Als Besitzer solcher Geräte in Angststarre oder Resignation zu verfallen, ist allerdings keine Lösung und schon gar nicht nötig. Denn die Lösung ist einfach.
Updaten, updaten, updaten, lautet die oberste Regel. Wenn ein Hersteller Updates zur Verfügung stellt, behebt er damit oft Sicherheitslücken. Kriminelle erkennen heute zum Teil schon innerhalb von Stunden, welche Lücken ein Update schließen soll – und greifen genau diese Lücke an. Wer nicht schnell genug war und kein Update geladen hat, hat mitunter Pech gehabt. Hier hilft die Telekom ihren Kunden. Das Sicherheitsteam der Telekom informiert betroffene Kunden, sobald es zum Beispiel über die Daten aus den Honeypots erfährt, welche IP-Adressen offenbar für Angriffe genutzt werden. Schritt für Schritt helfen die Experten den Betroffenen dann, ihre Geräte vom Schadcode zu befreien und damit aus den Klauen des Botnetzes zu entfernen.