Deutsche Telekom, Firmwarelücke, Netzwerkkabel
Deutsche Telekom, Firmwarelücke, Netzwerkkabel

Deutsche Telekom: Angriff auf Router: Verdächtiger festgenommen

Ein Verdächtiger, der für den Angriff auf zahlreiche Router der Deutschen Telekom im November 2016 verantwortlich sein soll, wurde in London festgenommen.

Ende November letzten Jahres legte ein Angriff zahlreiche Router von Kunden der Deutschen Telekom zeitweise lahm. Nun hat man einen Verdächtigen festgenommen, der hinter der Attacke stehen soll.

Deutsche Telekom: zahlreiche Router lahmgelegt

Bei dem Angriff, so erklärte die Deutsche Telekom damals, sei die Fernwartungs-Schnittstelle des Routers durch massenhaft eingehende Verbindungs-Anfragen überlastet worden. Das habe zum Absturz der Router geführt. Die Telekom-Router gerieten wahrscheinlich nur versehentlich ins Visier der Attacke. Kurz vor dem Angriff war eine gravierende Schwachstelle beim fraglichen Port (Port 7547/tcp) für einen anderen Router-Typ dokumentiert worden. Deswegen, so wird vermutet, starteten die Angreifer eine großflächige Attacke auf diesen Port.

Die Speedport-Router der Deutschen Telekom wiesen die Sicherheitslücke nicht auf. Somit wurde auch, soweit feststellbar, keine Schadsoftware auf den Routern installiert. Durch die massenhaften Anfragen und daraus resultierenden Abstürze kam es aber zu zeitweisen massiven Problemen mit der Infrastruktur. Rund eine Million Router sollen betroffen gewesen sein. Ein Neustart behob allerdings in den meisten Fällen die Probleme. Zudem veröffentlichte die Deutsche Telekom zeitnah einen Software-Patch, der die Router unempfindlicher machen sollte. Nach Experten-Ansicht fiel der Angriff durch einen Programmierfehler in der Angriffs-Software auf, der dafür sorgte, dass nicht anfällige Router, wie die der Deutschen Telekom, überlastet wurden.

Der IT-Sicherheitsforscher Brian Krebs äußerte die Vermutung, dass das aus gekaperten Internet-of-Things-Geräten wie Überwachungskameras und digitalen Videorecordern bestehende Mirai-Botnet hinter dem Angriff stand. Mirai war schon für andere Aufsehen erregende Angriffe, unter anderem auf den DNS-Provider DynDNS im Oktober 2016, verantwortlich.

Verdächtiger in London festgenommen

Nun wurde ein Verdächtiger festgenommen, der für den Angriff verantwortlich sein soll. Großbritanniens National Crime Agency (NCA) nahm den 29-Jährigen am gestrigen Mittwoch an einem der drei Londoner Flughäfen (Heathrow, Gatwick und Stansted) fest. Bei dem Verdächtigen soll es sich um einen britischen Staatsbürger handeln. Nähere Einzelheiten zur Person des mutmaßlichen IT-Kriminellen oder den Umständen seiner Festnahme sind bislang noch nicht bekannt.

Tarnkappe.info