Immerhin, den Angreifer haben die Fachleute inzwischen identifiziert. Es ist Schadsoftware, die sie dem Mirai-Netzwerk zurechnen. Das erklärt auch die Vehemenz, mit der die Angreifer, die Router attackieren. Schließlich steckte Mirai vor nicht mal einem Monat, Ende Oktober, auch hinter einer der heftigsten Attacken gegen Online-Anbieter, die das Netz bisher überhaupt erlebt hatte: Über Stunden sind die Webangebote von Amazon, Spotify, Twitter oder Netflix und vieler anderer Unternehmen kaum erreichbar. Schwerpunkte der Angriffe sind die Industrieregion im Nordosten der USA und die Hightech-Zentren an der Westküste. Aber auch im Großraum London, in Europa und in Asien kommt es zu Störungen.
Was die Sicherheitsexperten nach der Analyse des Angriffs im Oktober noch mehr in Alarmzustand versetzt, als dessen Vehemenz: Die Attacke nahm ihren Ursprung zu großen Teilen im Internet der Dinge. Jenem explosionsartig wachsenden Segment des Netzes, das nicht aus Computern oder Servern besteht, sondern aus der Flut vernetzter Maschinen – Überwachungskameras, Videokonferenzsysteme, oder eben gekaperte Router.
Und nun ist es wohl Mirai, das exakt die von „Kenzo2017“ beschriebene Schwachstelle im Fernwartungsmodul von Routern weltweit auszunutzen versucht, um weitere Geräte zu infizieren. Weltweit.
Das ganze Netz ist Hacker-Ziel – nicht die Telekom
Denn selbst wenn der hunderttausendfache Ausfall von Routern bei der Telekom der sichtbarste Effekt der neuen Angriffswelle ist, im Grunde ist sie gar nicht gezielt gegen den Bonner Kommunikationskonzern gerichtet. Und auch nicht gegen die Routertypen, die auch am Montagmorgen noch massenfach in Streik treten.
Bei Millionen von Routern weltweit ist der Angriff nur nicht aufgefallen, weil sie – standardkonform – den Versuch der Kontaktaufnahme der Hacker abgewiesen haben. Bei hunderttausenden Routern rund um den Globus, da sind sich die Experten sicher, war Mirai aber offenbar auch erfolgreich.
„Seit dem Wochenende verzeichnen wir einen drastischen Anstieg von infizierten Geräten rund um den Globus – speziell aus dem brasilianischen Netz der Telefónica-Tochter Movistar, aber auch dem des türkischen Netzbetreibers Türk Telecom sowie von betroffenen Routern britischer und irischer Internet-Nutzer“, sagt etwa Lion Nagenrauft, Cybersecurity-Analyst beim deutschen IT-Sicherheitsdienstleister iT-Cube. Er hat ausgewertet, wo genau die Hacker angesetzt und was sie mit der Attacke bezweckt haben.
Weltweiter Angriff, zufällig entdeckt
Nagenraufts Fazit: „Hätte sie nicht ab Sonntag zum flächendeckenden Ausfall der Telekom-Geräte geführt, wäre die neue globale Angriffswelle womöglich weitgehend unbemerkt geblieben.“
Anders als bei den irischen Routern aber gelingt es den Angreifern zu Tschersichs Erleichterung nicht, auf den Telekom-Geräten Schadprogramme auszuführen. Trotzdem fallen die von Arcadyan für die Telekom produzierten Speedport-Router reihenweise aus.
Nichts scheint zunächst wirklich zu helfen. Als die Telekom den Hackercode entziffert hat und in ihrem Netz den Zugriff auf die Server blockt, von denen aus das Mirai-Botnetz seine Angriffs-Software auf die Router laden will, weichen die Hacker auf andere Server aus, über die sie ihre Software verbreiten. Erst als Tschersich den Datenverkehr mit den Routern radikal beschneidet und im Zusammenspiel mit dem Fernwartungsmodul nur noch Verbindungen zu den Geräten zulässt, die aus dem Netz der Telekom stammen, beginnt sich die Lage zu stabilisieren.
Und dann – irgendwann – kommen die Software-Experten bei der Telekom und Arcadyan endlich auch der Ursache für die Störung der Onlineverbindungen bis hin zum zeitweiligen Ausfall der Router auf die Spur.