Mysteriös: Malware zerstört Tausende Router pro Stunde

In nur 72 Stunden ging beim US-Provider Windstream die Hälfte aller Kunden offline. Hunderttausende Router mussten ausgetauscht werden. Der ISP schweigt.​

In Pocket speichern vorlesen Druckansicht 238 Kommentare lesen
Von Ketten umschlossener WLAN-Router

Symbolbild, das keines der betroffenen Geräte zeigt.

(Bild: c't)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Ende Oktober sind beim US-Internetserviceprovider Windstream Hunderttausende Router offline gegangen. Binnen dreier Tage verlor etwa die Hälfte der Kunden ihren Internetzugang. Ihre Router waren plötzlich nutzlos und mussten ausgetauscht werden. Zurücksetzungen funktionierten nicht. Der ISP versorgt nicht ganz 1,2 Millionen Haushalte und einige zehntausend Unternehmen in 18 US-Staaten, vorwiegend in ländlichen Regionen. Schuld war laut Sicherheitsforschern Lumens ein schädliches Update der Router-Firmware, eingeschleust mit Malware namens Chalubo.

Merkwürdig an dem alarmierenden Vorfall sind mehrere Dinge: Betroffen waren ausschließlich Router dieses einen ISP, dann aber gleich Modelle zweier verschiedener Hersteller: Actiontec T3200s und Actiontec T3260s sowie Sagemcom-Router, Lumen vermutet das Modell F5380. Ein Scan der Lumen-Sicherheitsforschungsabteilung Black Lotus Labs zeigt für 24. Oktober 875.000 Router Sagemcom, 230.000 von ActionTec und 136.000 anderer Hersteller bei Windstream. Drei Tage später sind alle Actiontec-Geräte offline, und von der Sagemcom-Flotte sind weniger als 90.000 übrig. Dafür ist die Gruppe der Sonstigen um gut 360.000 angewachsen.

Black Lotus schätzt die Zahl der betroffenen Windstream-Kunden konservativ auf 600.000, wahrscheinlich waren es aber um eine Million. Hat sich ein (ehemaliger) Mitarbeiter rächen wollen? Haben Verbrecher versucht, Windstream zu erpressen? War es ein Angriff eines anderen Staates auf US-Infrastruktur? War es ein Zusammentreffen zweier zentral ausgespielter, fehlerhafter Updates?

Hat der Angreifer versucht, die Router zu übernehmen, um sie missbrauchen zu können, sie dabei aber irrtümlich ruiniert? Black Lotus berichtet, eingehende Befehle für DDoS-Attacken beobachtet zu haben, die von den Geräten aber nicht ausgeführt wurden. Doch warum würde so ein Täter sich auf einen einzelnen ISP konzentrieren und nicht die gleichen Modelle in verschiedenen Netzen angreifen?

Und wie konnte Windstream in Windeseile 360.000 neue Router anschließen? Das Unternehmen schweigt eisern. Auch gegenüber heise security hieß es lapidar "We don't have a comment." Da die Firma nicht mehr börsennotiert ist, muss sie sich nicht öffentlich erklären. Und weil die Republikanische Partei in ihrem Kampf gegen die Netzneutralität der Telecom-Regulierungsbehörde FCC die Zuständigkeit für ISP-Regulierung entzogen hat, fehlt auch behördliche Aufsicht – obwohl ein Vorfall solchen Ausmaßes die nationale Sicherheit betrifft.

Black Lotus zeigt Statistiken aus Censys-Scans, die die sichtbare Verteilung der Router-Marken bei Windstream Ende Oktober 2023 belegen.

(Bild: Black Lotus Labs by Lumen)

Erst im April hat sich die FCC die Zuständigkeit zurückgeholt und kann jetzt daran gehen, Sicherheitsvorgaben zu machen. Den Anfang sollen Maßnahmen zur Absicherung des Border Gateway Protocol machen, die hier nicht helfen würden.

Wie genau die Täter in die Windstream-Router gekommen sind, konnte Black Lotus nicht eruieren. Die bei der Kommunikation mit Kontrollservern eingesetzten Schlüssel sind bereits seit 2018 bekannt. Die Täter haben sie unverändert weitergenutzt. Schlussendlich sind die Empfehlungen der Forscher allgemeiner Natur: Updates einspielen, Router regelmäßig neu starten, und voreingestellte Passwörter ändern. Administratoren von Routerflotten müssen darauf achten, dass ihre Managementsysteme gut abgesichert und aus dem Internet nicht zugänglich sind.

Ein solch massiver, erfolgreicher Angriff auf einen ISP ist bislang nicht überliefert. Vergleichbar ist lediglich die russische Sabotage des Satellitennetzwerks KA-Sat am 24. Februar 2022, eine Stunde vor dem Überfall auf die Ukraine. Davon betroffen waren auch Fernsteuerungen von Windkraftanlagen in anderen europäischen Ländern. Gerechnet nach Zahl der Anschlüsse war dieses Verbrechen aber um ein bis zwei Größenordnungen kleiner als die bei Windstream angerichtete Zerstörung.

Windstream ist 2006 entstanden; damals wurden die Festnetzteile des Netzbetreibers Alltel mit jenen der Valor Communications Group in Windstream zusammengeführt. Im Jahr davor hatte Alltel Western Wireless übernommen. Aus Western Wireless ist 1999 Voicestream Wireless hervorgegangen, heute bekannt als T-Mobile USA. In gewisser Weise sind Windstream und T-Mobile USA also Basen.

In Österreich besaß Western Wireless den Preisbrecher-Mobilfunker tele.ring, der 2006 ebenfalls von T-Mobile übernommen wurde. Windstream wurde 2019 zahlungsunfähig, reduzierte in einem Insolvenzverfahren seinen Schuldenstand um mehrere Milliarden Dollar und ist seit 2020 in privater Hand.

(ds)