Angriff mit Mirai-ähnlicher Wormware auf Internet-Service-Provider in Großbritannien

Wieder ein offener Router-Port als Einfallstor

[datensicherheit.de, 05.01.2017] Laut einer aktuellen Meldung von Varonis ist Ende 2016 bekanntgeworden, dass eine „Mirai“ nicht unähnliche „Wormware“ einen Angriff auf einen Internet-Service-Provider (ISP) in Großbritannien lanciert hat. Insbesondere Kunden von Talk Talk und Post Office meldeten Störungen und Internetausfälle.

Verbraucher: Endlich Standard-Passwörter der Routers ändern!

Wie schon beim ersten Vorfall, bei dem sich das „Mirai“-Botnetz in erster Linie gekaperter Kameras aus dem Consumer-Bereich bedient habe, sei auch hierbei wieder ein offener Router-Port zum Einfallstor geworden.
Zwei wesentliche Aspekte hätten die jüngsten Vorfälle bei ISPs gemeinsam: „SQL Injection“ – eine immer noch real existierende IT-Sicherheitsplage. Verbraucher sollten nun endlich dazu übergehen, die Standard-Passwörter ihres Routers zu ändern.

Port zur Fernwartung der Router missbraucht

Die jüngste „Mirai“-Attacke begann ebenfalls Ende 2016 in Deutschland, als nahezu 900.000 Kunden der Deutschen Telekom Verbindungsstörungen ihrer Router meldeten. Danach soll sich der Angriff auf die britische Insel verlagert haben.
Bei genauerem Hinsehen hätten Sicherheitsexperten jedoch einige Unterschiede festgestellt. Die neue Variante der „Mirai“-Malware, „Annie“ genannt, habe Port 7547 (eine öffentliche IP und nicht den üblichen Telnet-Port 23) genutzt. Wie unter Netzwerk- und Telekom-Spezialisten bekannt, sei das nun der Port zur ISP-Fernwartung ihrer Router – und zwar über das ominöse „TR-064“-Protokoll.
Kurz zusammengefasst: Die Nachforschungen und Analysen kämen zu dem Ergebnis, dass die Angreifer das Protokoll direkt ausgenutzt hätten, um WiFi-Passwörter der Router mitzuschneiden sowie die Namen der betreffenden Funknetzwerke oder SSIDs.

Hacker nutzen „TR-064“-Kommando

Um die ganze Sache noch ein bisschen schlimmer zu machen: Den Hackern sei es gelungen, ein nicht besonders gut implementiertes „TR-064“-Kommando zu finden. Dies erlaubte ihnen den Zugriff, beziehungsweise gestattete es den Angreifern nun eigene Shell-Befehle zu injizieren.
Diese Shell-Kommandos seien hauptsächlich verantwortlich für den Download und das Ausführen der Binaries vom C2-Server der Hacker. Dieser Server stoße den Prozess dann wieder und wieder an, um den „Annie“-Wurm möglichst schnell und weit zu verbreiten.

Privacy-by-Design gefordert!

Ganz nebenbei sei noch erwähnt, dass bei den obigen Zugriffen keinerlei Authentifizierung nötig gewesen sei – kein Benutzername, kein Passwort.
Man dürfe sich also leise fragen, ob ISPs und Router-Hersteller mit Konzepten wie Privacy-by-Design vertraut sind. Man sei geneigt zu glauben: eher nicht…

Womöglich mehrere Cyber-Gangs beteiligt

In allen bekannten Fällen sehe es so aus, dass die Störungen und Ausfälle unter denen die betreffenden ISP-Kunden zu leiden hatten, durch den zusätzlichen Daten-Traffic verursacht worden seien. Immer mehr und mehr Router seien mit Anfragen auf ihre Ports überschwemmt worden.
Nach aktuellem Wissensstand habe es die „Annie“-Wormware allerdings nicht auf Router-Funktionen als solche abgesehen. Daraus lasse sich schließen, dass der DDoS-Aspekt eine nicht intentionale Begleiterscheinung und Folge von „Annie“ sei.
Es kursiere zusätzlich die Annahme, dass an diesem Angriff unterschiedliche Cyber-Gangs beteiligt gewesen seien und sich verschiedener „Mirai“-ähnlicher Varianten bedient hätten.

Absicht der Angriffe weiterhin nicht eindeutig geklärt

Die ultimative Absicht der Angriffe sei weiterhin nicht ganz eindeutig geklärt. Vielleicht habe man zeigen wollen, dass es überhaupt möglich sei, Router in einem derartigen Ausmaß für einen Angriff auszunutzen.
Talk Talk habe zügig ein Firmware-Update veröffentlicht, um den Bug im „TR-064“-Protokoll zu beseitigen und es unmöglich zu machen, auf diesen offenen Port zuzugreifen. Zusätzlich sei das WiFi-Passwort auf die Standard-Werkseinstellungen zurückgesetzt worden (auf der Rückseite des Gerätes zu finden).

Einstellungen der eigenen Firewall etwas genauer ansehen!

Wie schon am Beispiel der „Mirai“-Attacke auf Consumer-Kameras erläutert, sei es keine schlechte Idee sich die Einstellungen der eigenen Firewall etwas genauer anzusehen. Wenn es keinen absolut triftigen Grund gibt, eine Fernwartung oder Remote-Verwaltung zu gestatten (oder andere spezielle Funktionen), sollte man solche öffentlichen Ports einfach entfernen.
Wenn nur halbwegs jeder durchschnittliche Benutzer beim Verwalten seines WiFi-Netzwerks etwas sorgfältiger vorgegangen wäre, hätte der Angriff niemals ein solches Ausmaß erlangen können.
Ken Munro, Gründer des Unternehmens PentestPartners, habe in den ursprünglichen Antworten von Talk Talk eine Schwachstelle bemerkt – und die weitaus meisten Benutzer hätten schlicht darauf verzichtet, die WiFi-Passwörter aus den Standard-Werkseinstellungen tatsächlich zu ändern. Die von den Hackern eingesammelten Passwörter sollten also immer noch gültig sein… Eine wenig vertrauenerweckende Vorstellung!

Handel mit WiFi-Passwörter als mögliche Absicht

Eine Möglichkeit zur Ausnutzung solcher sei das sogenannte „Wardriving“.
Angreifer ermittelten beispielsweise mithilfe von „wigle.net“ den Standort des gewünschten Routers und starteten dann in räumlicher Nähe einen Angriff.
Ein paar WiFi-Passwörter, SSID-Namen und „wigle.net“ reichten folglich aus, um im Hacker-Geschäft mitzumischen. Es sei durchaus vorstellbar, dass WiFi-Passwörter das eigentliche Ziel des Angriffs gewesen seien und Cyber-Kriminelle eine immense Zahl von Passwort-Listen jetzt im „Dark Web“ zum Verkauf anböten. Zum Jahreswechsel 2016-2017 und darüber hinaus erwarteten Beratungsunternehmen massive „CEO-Fraud“-Angriffe. Man dürfe davon ausgehen, dass Passwörter, die in Zusammenhang mit Führungskräften, VIPs oder anderen erfolgversprechenden „Whaling“-Kandidaten stehen, im „Dark Web“ gute Preise erzielen würden.

Änderung der Passwörter empfohlen!

Kunden von Talk Talk und anderen betroffenen ISPs täten gut daran, ihre Passwörter so schnell wie möglich und für alle betroffenen Geräte zu ändern. Für alle anderen sei es vermutlich keine schlechte Idee, die bestehenden WiFi-Passwörter von Zeit zu Zeit zu ändern und – wo gestattet – „Horse-Battery-Staple“-Techniken für möglichst unknackbare Passwörter einzusetzen.
IT-Fachleute mögen einwenden, dass diese Tipps für Endverbraucher gut und schön seien, aber im Firmenumfeld keinerlei Relevanz hätten. Bei dieser Argumentation sollte man sich aber vor Augen halten, dass Injection-Angriffe und die auch unter Profis grassierende „Defaultitis“ zu einem Problem werden könnten.

Weitere Informationen zum Thema:

GRAHAMCLULEY, 02.12.2016
TalkTalk and Post Office customers lose internet access as routers hijacked Poorly-secured routers are being compromised by hackers.

BadCyber
New Mirai attack vector – bot exploits a recently discovered router vulnerability

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein