Der Routerausfall bei Kunden der Deutschen Telekom ist offenbar nicht das Ergebnis eines gezielten Angriffs. Zu diesem Schluss kommt der IT-Sicherheitsexperte Ralf-Philipp Weinmann von der Firma Comsecuris. Bei der Störung handelte es sich ihm zufolge vielmehr um die Begleiterscheinung einer massiven Attacke auf Linux-Systeme. Diese versucht über den Fernwartungsport TR-069 Schadsoftware auf Routern zu installieren. Verantwortlich für den Angriff ist offenbar das Botnetz Mirai.
Bei vielen Routern ist der Port TR-069 offen über das Internet zugänglich. Diese Schwachstelle wurde bereits Anfang des Monats bei Modellen des Herstellers Zyxel festgestellt. Aber auch die Geräte anderer Firmen verfügen über diese Lücke. Etwa die für die Störung am Montag verantwortlichen Modelle des taiwanesischen Unternehmens Arcadyan. Zum Glück für die Telekom basieren diese Router nicht auf Linux, sondern auf dem Embedded-Betriebssystem RTOS. Die Angreifer konnten deshalb keine Schadsoftware auf den Geräten installieren. Die ständigen Zugriffsversuche durch das Botnetz führten allerdings dazu, dass die Router den Dienst verweigerten.
Aus diesem Grund konnten Nutzer nach einem Neustart der Geräte auch wieder auf das Internet zugreifen, bis diese nach einiger Zeit wieder von den regelmäßigen TR-069-Angriffe lahmgelegt wurden. Ein Telekomsprecher hatte zunächst verkündet, die Schadsoftware sie schlecht programmiert gewesen und hätte deshalb nicht so viel Schaden angerichtet, wie von den Hacker beabsichtigt.
Anfang der Woche war es zu einer großen Störung bei der Telekom gekommen. Mehr als 900.000 Anschlüsse waren davon betroffen. Die Zahl der betroffenen Router ist dem Unternehmen zufolge allerdings nach dem Einspielen von Filtersoftware deutlich zurückgegangen.
