Am ersten Adventssonntag konnte man in Deutschland mitbekommen, was passiert, wenn Hackern ein Missgeschick unterläuft. In vielen Haushalten war das Internet ausgefallen. Grund war wohl ein weltweiter Cyberangriff, Kriminelle hatten es auf Router abgesehen, also jene weißen Kästchen, die Computer, Telefone und Fernseher mit dem Internet verbindet. Die Hacker wollten die Router unter ihre Kontrolle bringen, um sie zu einer Angriffswaffe zu orchestrieren. Doch bei einigen Modellen der Telekom ging das schief: Rund 900.000 Router ließen sich nicht übernehmen, quittierten stattdessen den Dienst. Eine kleine Unachtsamkeit der Hacker reichte also aus, um immerhin fast eine Million Haushalte in Deutschland vom Internet abzuschneiden.

Wie groß diese Attacke tatsächlich war, wie sie abgelaufen ist und was für eine Gefahr dahintersteckt – das analysieren derzeit Sicherheitsforscher und Informatiker. Sie nutzen dafür Sensornetze, die in die Weiten des Internets hinauslauschen, sie nehmen die anfälligen Router auseinander, und natürlich analysieren sie auch den Code, mit dem die Hacker angegriffen haben. Im aktuellen Fall war dieser Code ein alter Bekannter. Sicherheitsexperten berichten auf dem Portal badcyber.com, dass die eingesetzte Schadsoftware einige Ähnlichkeiten mit „Mirai“ aufweist, einem Schädling, der sich im Internet der Dinge breitmacht.

Schwachstelle steckt im TR-069-Protokoll

Mirai attackiert schlecht gesicherte Überwachungskameras, Kühlschränke oder Fernseher, die direkt mit dem Netz verbunden sind. Die Hintermänner dieser Attacken können die Geräte dann unbemerkt zu einem Botnet verbinden. Mit diesem Botnet wiederum können sie Abermillionen Datenpäckchen auf ein Ziel abfeuern, etwa auf eine Website, und diese damit in die Knie zwingen. Erst am 21. Oktober griff das Mirai-Botnet einen neuralgischen Punkt im Netz an, woraufhin Websites wie Amazon, Twitter oder Netflix an der amerikanischen Ostküste für Stunden nicht erreichbar waren. Mittlerweile wird diese Waffe sogar zur Miete angeboten. Und weil man für mehr Feuerkraft auch mehr Geld verlangen kann, arbeiten Kriminelle daran, das Botnet zu vergrößern.

Die Hacker hinter der aktuellen Attacke haben anscheinend den Mirai-Code so verändert, dass er eine Schwachstelle in manchen Routern ausnutzt und diese ebenfalls kapert. Die Schwachstelle steckt im sogenannten TR-069-Protokoll. Es dient Internetanbietern dazu, auf die Router zuzugreifen und sie zu warten. Wie seit mindestens Anfang November bekannt ist, kann dieses Protokoll von Hackern genutzt werden, um Schadsoftware auf die Router zu schleusen. Das Problem: Internetprovider stellen die Router oft so ein, dass jedermann die Schnittstelle dieses Protokolls übers Internet erreichen kann, was Sicherheitsexperten seit langem kritisieren.

Wenn Router zu Zombies werden

„Ich war überhaupt nicht überrascht, dass diese Schwachstelle ausgenutzt wurde, aber es hat mich schon gewundert, wie schnell es ging“, sagt Haya Shulman vom Darmstädter Fraunhofer-Institut für Sichere Informationstechnologie. Shulman hat sich den Code der aktuellen Attacke angeschaut. Er ähnelt Mirai etwa darin, wie er sich unkenntlich macht, oder darin, wie er die Internetadressen bestimmt, über die er nach Hackerbefehlen sucht. Die Schadsoftware ist so aufgebaut, dass sie sich über das TR-069-Protokoll auf dem Router einnistet und dann nach anderen Routern sucht, um diese zu infizieren. Dazu verschicken die bereits befallenen Router ständig Anfragen an alle möglichen Geräte im Internet, um zu prüfen, ob diese über das Protokoll angreifbar sind.