Nach der Telekom-Großstörung: Mutmaßlicher Hacker wegen Angriff auf Deutsche Telekom festgenommen

Knapp drei Monate nach dem massiven Hackerangriff auf Internetrouter der Deutschen Telekom ist ein Verdächtiger in London festgenommen worden, teilen die Staatsanwaltschaft Köln und das Bundeskriminalamt (BKA) mit.

Dem britischen Staatsbürger werde versuchte Computersabotage in einem besonders schweren Fall vorgeworfen. Kräfte der britischen National Crime Agency hätten den 29 Jahre alte Mann am Mittwoch an einem Londoner Flughafen gefasst. Er soll Ende November Router der Deutschen Telekom angegriffen haben. Mehr als eine Millionen Kunden konnten daher zeitweise ihren Internetanschluss nicht nutzen.

Hackerangriff auf Telekom-Router

• heise Security bietet TR069-Test
• Kommentar: Tauscht marode Plasterouter endlich aus!
• Telekom-Chef: Aufruf zu den Cyber-Waffen
• Schneier: "Die Ära von Spaß und Spielen ist vorbei"
• Großstörung bei der Telekom: Was wirklich geschah
• Angreifer nutzten Lücke und Botnetz-Code
• BSI warnt vor weltweitem Hackerangriff auf DSL-Modems
• Die Telekom prüft Hinweise auf Hackerangriff

Missglückter Hack

Zum Zeitpunkt der Großstörung war die Ursache noch unklar. Kurze Zeit später stelle sich heraus, dass ausschließlich verschiedene Speedport-Modelle betroffen waren und die Telekom prüfte Hinweise auf einen Hackernagriff.

Wie das BKA nun berichtet, wollte der Verdächtige die Router kapern und in ein von ihm betriebenes Botnetz integrieren. Dieses soll er in Untergrund-Foren zum Verkauf für etwa DDoS-Angriffe angeboten haben.

Im weiteren Verlauf stelle sich heraus, dass es bei den betroffenen Routern massive Angriffe auf den Fernwartungsport TR-069 bzw. TR-064 gab. Viele Experten – darunter auch heise Security – gingen davon aus, dass die Angreifer die Router über eine TR-069-Sicherheitslücke attackiert haben. Doch bei einem Selbstversuch mit einem anfälligen Router des Sicherheitsforschers Ralf-Philipp Weinmann stellte sich heraus, dass diese Lücke gar nicht in den angegriffenen Speedport-Modellen klafft.

Weinman zufolge haben die regelmäßigen TR-069-Angriffe die Geräte schlicht lahmgelegt. Eine wie auch immer geartete Infektion gab es dabei nicht und das beabsichtigte Kapern der Geräte schlug fehl. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde. (mit Material der dpa) / (des)