News

Das steckt hinter der jüngsten russischen Cyber-Attacke

(Foto: Shutterstock / GlebStock)

Eine neue Cyber-Attacke soll laut Vorwürfen seitens der USA und Großbritannien aus Russland stammen. Doch was steckt hinter dem Angriff und welche Auswirkungen könnte er haben?

Das Ziel des verübten Angriffs waren laut Homeland Security vor allem staatliche und privatwirtschaftliche Organisationen. Betroffen seien dabei Geräte der Netzinfrastruktur: vor allem Router und Switches. Der Chef der britischen Cyber-Verteidigungsbehörde Ciaran Martin ist sich sicher: „Millionen von Maschinen“ seien betroffen. Solche infizierten Geräte könne man auch für zukünftige Cyberangriffe nutzen. Doch wie kann es sein, dass eine solche Attacke mit einem Schlag Millionen Geräte infiziert?

Ausnutzung von Sicherheitslücken

Der Angriff hat sich größtenteils auf einige veraltete und sicherheitsschwache Netzwerkprotokolle konzentriert. Darunter auch das in die Jahre gekommene Protokoll Telnet. Dieses immer noch verbreitete Client/Server-Protokoll tauscht zeichenorientierte Daten über eine TCP-Verbindung aus – unverschlüsselt. Angreifer können also bei einer solchen Verbindung beispielsweise Passwörter einfach im Klartext mitlesen.

Weitere betroffene Geräte nutzen das Protokoll SNMP (Simple Network Management Protocol). Mit diesem Protokoll hat ein zentrales Gerät die Möglichkeit, verbundene Netzwerkkomponenten wie Server, Drucker und Router zu verwalten und zu kontrollieren. Ein großes Sicherheitsrisiko offenbart SNMP jedoch in einer veralteten Version. Mit dieser Version gab es nur die Möglichkeit, sich über sogenannte Communities beim System anzumelden. Bei diesem Verfahren können allerdings Angreifer, die sich im gleichen Netzwerk befinden, Systeminformationen nicht nur mitlesen, sondern sogar verändern.

Ciscos Verwaltungsprotokoll

Auch das von Cisco entwickelte, unsichere Verwaltungsprotokoll Smart Install (SMI) bot den Cyber-Akteuren ein Einfallstor. SMI gibt Netzwerkadministratoren die Möglichkeit, unterstützte Cisco-Geräte aus der Ferne zu konfigurieren und neue Dateien zu installieren. Dafür ist keinerlei Authentifizierung notwendig. Dadurch konnten Angreifer, wie November letzten Jahres bekannt geworden war, weltweit circa 200.000 Netzwerkgeräte ganz einfach per SMI anpassen. So kann nicht nur böswillig geänderte Firmware hochgeladen werden, sondern auch Malware in einer bei den Geräten vorgesehenen beschreibbaren Dateistruktur für andere Plattformen abgelegt werden.

Auswirkungen der Cyberattacke

Durch das Ausnutzen dieser und weiterer Sicherheitslücken sollen nun eine Vielzahl an Geräten infiziert worden sein. Diese Geräte könnten die Angreifer nutzen, um auf ihnen Firmware, Betriebssysteme und Konfigurationen zu verändern. Die Cyber-Akteure haben die Möglichkeit, bei einem infizierten Router nun den Traffic zu kontrollieren, abzulehnen und sogar abzuändern. Das kann verheerende Auswirkungen auf ein betroffenes Netzwerk haben. Das Abfangen von Anmeldeinformationen sowie das Manipulieren von Nachrichten sind nur zwei von vielen Möglichkeiten. Es könnten im jeweiligen Netzwerk gefährliche Konfigurationen in Umlauf gebracht werden, die auch zum Ausfall des Dienstes führen könnten. Angreifer einer infizierten Netzinfrastruktur haben so im Wesentlichen die kompletten Daten in diesem Netzwerk in der Hand und können diese auch kontrollieren.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.