ComputerBase Menü
Aktuelles

Wer erklärt mir den Telekom Hack?

B

blende8

Cadet 4th Year
Registriert
Nov. 2015
Beiträge
119
Bitte mal "für Doofe". :)
Ich kenne mich da echt nicht aus.

Was ich aus den Meldungen rauslese ist, dass sich die Schadsoftware auf dem Router einnistet.
Wie funktioniert sowas überhaupt?
Woher bekommt sie die "Adresse" des Routers? Und kann da rein ohne Login?

Und dann: Welchen Zweck hat das?
Ist das nur der erste Schritt, um dann auf den Rechner selbst vorzudringen?

Und letztendlich: Wie stellt man Schadsoftware auf dem Router fest?
Wie kann man ihn dann "säubern", resetten? Reicht da der Stromstecker? Vermutlich nicht ...
 
Wie sowas genau funktioniert wird dir hier wohl kaum einer sagen.
Welchen Zweck das hat? Weißt du wieviele Unternehmen auf das Internet angewiesen sind?
Die wären völlig blind wenn das ausfällt. Somit entstehen Schäden von Millionen. Das wäre denke ich mal der größte Zweck.
 
Schon der erste Punkt ist falsch: auf den Routern hat sich keine Schadsoftware eingenistet, zu keinem Zeitpunkt.

Die folgenden Fragen sind damit alle hinfällig.
 
Ich würde einfach gerne besser verstehen, worum es hier eigentlich ging.
Was lief denn da ab?
 
die Router haben eine Ferwartungsschnittstelle (derzeitig jetzt deaktiviert) worüber die Telekom konfigurationen einspielen und den Status abfragen kann

diese Schnittstelle wurde versucht zu nutzen um Schadsoftware zu installieren
 
Zugriff auf den Router, bedeutet dann auch...Zugriff auf den Anschluss. Man könnte so eventuell ein Bot Netzwerk aufbauen, Ddos Angriffe starten, illegale down und uploads...etc. Gibt Millionen Anwendungsbeispiele
 
Es geht Netzwerke zu kapern und das zu einen Botnetz zu machen um große Angriffe auszuführen.

Einfach mal Nachrichten schauen oder aktuelle Geschehnisse lesen. Da wird das meiste auch für den dümmsten erklärt.
 
Gekaperte Router sind ein echter Leckerbissen für Hacker. Warum?
  • Schnittstelle zwischen offenem Internet und privatem Netz
  • Haben dementsprechend Zugriff und Kontrolle über den gesamten Verkehr zw. Internet und den Clients
  • Können auch ins private Netz, ein Schadcode kann so praktisch beliebige Tunnel nach außen aufbauen.
  • Praktisch immer online
  • Sind potent genug um selbst großangelegt Angriffe auszuführen
  • Werden wohl von den meisten Nutzern aufgestellt und Jahre lang nicht angefasst. FW-Updates macht niemand sofern dies nicht automatisiert abläuft.

Beim Telekom Hack wurde wohl über den Fernwartungsport Schadcode injeziert. Dieser ist jedoch nur im Hauptspeicher sodass er nach einem Neustart erstmal nicht läuft. Jedoch werden die Router relativ schnell wieder von außen infiziert. Aktuell blockt die Telekom den entsprechenden Port 74xx sodass die Neuinfizierung eingedämmt wird.

Wie kommen die an die IP's? Einfach breitbandig scannen im IP-Adressraum der Telekom. Hierbei helfen sicherlich auch die "Teilnehmer" diverser Botnetze.

Zu was genau der Schadcode in der Lage ist hat wohl noch keiner analysiert.
 
Da, wo die "Angreifer" hin wollten, sind sie hingekommen. Alles andere war nur Ablenkung. Bissl Collateral Damage, na und.
 
Plutos schrieb:
Schon der erste Punkt ist falsch: auf den Routern hat sich keine Schadsoftware eingenistet, zu keinem Zeitpunkt.

Die folgenden Fragen sind damit alle hinfällig.
Zum Vergrößern anklicken....

Aufgrund der Attacke nicht, aber wie kannst du sicher sein das ein komprimittierter Router nicht auch geflasht wird?
Ist zwar unwahrscheinlich aber möglich, z.B. um sich von außen dauerhaften Zugriff auf das Netzwerk zu sichern.
Gerade bei einer Firma würde ich so ein gezieltes Vorgehen nicht ausschließen.
 
DaZpoon schrieb:
Beim Telekom Hack wurde wohl über den Fernwartungsport Schadcode injeziert. Dieser ist jedoch nur im Hauptspeicher sodass er nach einem Neustart erstmal nicht läuft. Jedoch werden die Router relativ schnell wieder von außen infiziert.
Zum Vergrößern anklicken....
Dann müsste dieser Schadcode aber ununterbrochen durch die Netze geistern und nicht nur eine einmalige Sache ("Angriff") sein.
Ist da so?
Wird nicht sowieso das Netz einmal in der Nacht automatisch unterbrochen? Bei mir ist da glaube ich so.
 
blende8 schrieb:
Dann müsste dieser Schadcode aber ununterbrochen durch die Netze geistern und nicht nur eine einmalige Sache ("Angriff") sein.
Ist da so?
Zum Vergrößern anklicken....
Ja. Infizierte Geräte suchen ununterbrochen nach anderen Opfern. Selbst wenn ein infiziertes Gerät durch Neustart wieder sauber wird (weil die Schadsoftware nur im Hauptspeicher lief), wird es kurz darauf wieder übernommen, sofern die dafür ausgenutzte Lücke nicht geschlossen wird.

Der 24h-Reconnect (Zwangstrennung) ändert daran nichts, dadurch ändert sich nur deine externe IP-Adresse. Da aber ohnehin alle Adressen gescannt werden, ergibt sich daraus keine höhere Sicherheit.

Beim "Telekom-Hack" (was eigentlich ein Arcadyn-Hack) ist, funktionierte das Infizieren der Geräte nicht, diese versagten stattdessen und deswegen fiel es der Masse auch überhaupt erst auf.
 
Zuletzt bearbeitet:
So wie ich den Artikel auf Golem verstanden hab, wurde nichts infiziert - da auf dem Router kein Linux läuft und somit die ganzen Befehle absolut nichts gebracht haben. Die Networking-Funktionen des Routers wurden allerdings dadurch gestört bzw. ausgehebelt. Man war also nie Teil eines Botnetzes.
 
bossbeelze schrieb:
Da, wo die "Angreifer" hin wollten, sind sie hingekommen. Alles andere war nur Ablenkung. Bissl Collateral Damage, na und.
Zum Vergrößern anklicken....
Der Schadcode wurde disassembliert. Es sit also klar, was er tun sollte. Wo soll also wer hingekommen sein, wenn der Schadcode nicht das machen konnte, was aufgrund seine Codes eigentlich seine Aufgabe war?
 
amokkx schrieb:
Artikel auf Golem
Zum Vergrößern anklicken....
Danke für den Link! Gut erklärt.

EDIT:
Könnte man nicht in den Router eine Art "Reset" einbauen, der z.B. bei dem 24 h Reconnect automatisch die Software neu einliest, oder etwas in der Art?
 
Zuletzt bearbeitet:
Viel einfacher wäre es doch, den leidlichen Fernwartungsport zu schließen oder wenigstens abzusichern.
 
Richtig, fertig infiziert wurde nix da die Router abgestürzt sind. Im Prinzip ist das auch für die Hacker der GAU da das dadurch wohl zu sehr aufgeflogen ist und sich nun großräumige Gegenmaßnahmen bilden. Dadurch wurde der Hack praktisch "wertlos" (das ist monetär gemeint).

Ich wollte in meinem Post die essentielle Bedeutung des Routers betonen. Für die meisten ist das nämlich nur eine Kiste die irgendwo in der Ecke verschwindet und ihren Dienst verrichten soll. Aus meiner Sicht müsste es für Router aber dringend eine Art Zertifizierung geben bevor sie verkauft werden dürfen. Und darin sollten Mechanismen gegen Firmwareveränderungen zwingend gefordert sein.
 
An Routern ohne Hintertür haben weder die Provider, noch die Regierung ein Interesse. Von denen wurden die "Fernwartungsprotokolle" ja überhaupt erst eingebaut.
Da würde ich also nicht allzuviel erwarten. Vielleicht Entwicklern von Routersoftware was in der Schublade haben, z.B. bei OpenWRT.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Z
Wer erklärt mir meine Heizung?
Antworten
7
Aufrufe
948
Registrierung
R
C
Wer erklärt mir mal die sache mit lüftersteuerung und so ??
Antworten
7
Aufrufe
1.039
cr4zyiv4n
C
nicK--
  • Gesperrt
Wer erklärt mir wie man einen AMD OCed?
Antworten
1
Aufrufe
1.239
Green Mamba
G
insane42
[PHP] Wer erklärt mir das Arbeiten mit Klassen?
Antworten
5
Aufrufe
1.192
insane42
insane42
DvP
Wer erklärt mir das "HELLBOY" Universum?
Antworten
0
Aufrufe
1.369
DvP
DvP
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz