Telekom entdeckt umfangreiche Cyberattacke: Botnet-Aufbau mit Huawei-Routern

Die Deutsche Telekom hat einen großen Angriff auf Huawei-Router entdeckt. Bis zu 100.000 Geräte sollen betroffen sein und wahrscheinlich zu einem Botnet vereint werden.

(Foto: weerapat1003 / Fotolia)

Ende November war Huawei von Check Point auf eine Sicherheitslücke bei seinem Router-Modell »HG532« hingewiesen worden, über die ein Angreifer das Gerät übernehmen kann. Der Hersteller hatte kurz darauf ein Update für seine Firewall-Systeme bereitgestellt, um Attacken auf die Router zu unterbinden, doch zahlreihe Geräte scheinen bereits gekapert worden zu sein. Zumindest hat die Deutsche Telekom in der vergangenen Woche große Mengen von Datenpaketen identifiziert, die auf das Leck zielen. Teilweise seien es über 200.000 pro Stunde gewesen, so das Unternehmen. Darauf basierend schätzt man, dass etwa 80.000 bis 100.000 Router infiziert wurden, Geräte in Deutschland sollen der Telekom zufolge bislang allerdings nicht betroffen sein.

Der deutsche TK-Riese hat im vergangenen Jahr bereits Erfahrungen mit einer ähnlichen Attacke gemacht. Auch die hatte, wie die jetzigen Angriffe auf Huawei-Geräte, einen Wartungsport im Visier und scheiterte damals nur, weil die Schadsoftware nicht kompatibel zu den Telekom-Routern war und diese zum Absturz brachte. Bei mehr als einer Million Telekom-Kunden waren Internet, Telefon und IP-TV gestört.

Wie bei der Attacke im vergangenen Jahr geht es wohl auch den aktuellen Angreifern darum, die übernommenen Router in ein Botnet zu integrieren und für weitere Angriffe zu missbrauchen. Der Telekom zufolge ging die ursprüngliche Attacke von einem Server in Russland aus, anschließend wurde versucht, Schadcode von Servern in den Niederlanden und Russland nachzuladen. Check Point, das die Schwachstelle entdeckt und ein Security-Advisory veröffentlicht hatte, stuft das Leck als »kritisch« ein.

Einen Patch für die betroffenen Geräte gab es bis Redaktionsschluss von Huawei nicht. Die Untersuchung laufe noch, erklärte der Hersteller in einem kurzen Statement, in dem er das Vorhandensein des Lecks bestätigt und Nutzern der HG532-Router rät, die integrierten Firewall-Funktionen zu aktivieren und das Default-Passwort zu ändern – sowie auf Carrier-Seite eine Firewall einzusetzen. Die ersten beiden Tipps sind generell gute Empfehlungen für alle Router-Nutzer, egal welches Modell sie einsetzen. Der letzte Tipp dürfte für die Nutzer schwer umzusetzen sein, sie sind darauf angewiesen, dass ihr Netzbetreiber sie schützt, indem er Angriffe auf die Schwachstelle blockiert.