Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Das steckt hinter der jüngsten russischen Cyber-Attacke

(Foto: Shutterstock / GlebStock)

Eine neue Cyber-Attacke soll laut Vorwürfen seitens der USA und Großbritannien aus Russland stammen. Doch was steckt hinter dem Angriff und welche Auswirkungen könnte er haben?

Das Ziel des verübten Angriffs waren laut Homeland Security vor allem staatliche und privatwirtschaftliche Organisationen. Betroffen seien dabei Geräte der Netzinfrastruktur: vor allem Router und Switches. Der Chef der britischen Cyber-Verteidigungsbehörde Ciaran Martin ist sich sicher: „Millionen von Maschinen“ seien betroffen. Solche infizierten Geräte könne man auch für zukünftige Cyberangriffe nutzen. Doch wie kann es sein, dass eine solche Attacke mit einem Schlag Millionen Geräte infiziert?

Ausnutzung von Sicherheitslücken

Der Angriff hat sich größtenteils auf einige veraltete und sicherheitsschwache Netzwerkprotokolle konzentriert. Darunter auch das in die Jahre gekommene Protokoll Telnet. Dieses immer noch verbreitete Client/Server-Protokoll tauscht zeichenorientierte Daten über eine TCP-Verbindung aus – unverschlüsselt. Angreifer können also bei einer solchen Verbindung beispielsweise Passwörter einfach im Klartext mitlesen.

Weitere betroffene Geräte nutzen das Protokoll SNMP (Simple Network Management Protocol). Mit diesem Protokoll hat ein zentrales Gerät die Möglichkeit, verbundene Netzwerkkomponenten wie Server, Drucker und Router zu verwalten und zu kontrollieren. Ein großes Sicherheitsrisiko offenbart SNMP jedoch in einer veralteten Version. Mit dieser Version gab es nur die Möglichkeit, sich über sogenannte Communities beim System anzumelden. Bei diesem Verfahren können allerdings Angreifer, die sich im gleichen Netzwerk befinden, Systeminformationen nicht nur mitlesen, sondern sogar verändern.

Ciscos Verwaltungsprotokoll

Auch das von Cisco entwickelte, unsichere Verwaltungsprotokoll Smart Install (SMI) bot den Cyber-Akteuren ein Einfallstor. SMI gibt Netzwerkadministratoren die Möglichkeit, unterstützte Cisco-Geräte aus der Ferne zu konfigurieren und neue Dateien zu installieren. Dafür ist keinerlei Authentifizierung notwendig. Dadurch konnten Angreifer, wie November letzten Jahres bekannt geworden war, weltweit circa 200.000 Netzwerkgeräte ganz einfach per SMI anpassen. So kann nicht nur böswillig geänderte Firmware hochgeladen werden, sondern auch Malware in einer bei den Geräten vorgesehenen beschreibbaren Dateistruktur für andere Plattformen abgelegt werden.

Auswirkungen der Cyberattacke

Durch das Ausnutzen dieser und weiterer Sicherheitslücken sollen nun eine Vielzahl an Geräten infiziert worden sein. Diese Geräte könnten die Angreifer nutzen, um auf ihnen Firmware, Betriebssysteme und Konfigurationen zu verändern. Die Cyber-Akteure haben die Möglichkeit, bei einem infizierten Router nun den Traffic zu kontrollieren, abzulehnen und sogar abzuändern. Das kann verheerende Auswirkungen auf ein betroffenes Netzwerk haben. Das Abfangen von Anmeldeinformationen sowie das Manipulieren von Nachrichten sind nur zwei von vielen Möglichkeiten. Es könnten im jeweiligen Netzwerk gefährliche Konfigurationen in Umlauf gebracht werden, die auch zum Ausfall des Dienstes führen könnten. Angreifer einer infizierten Netzinfrastruktur haben so im Wesentlichen die kompletten Daten in diesem Netzwerk in der Hand und können diese auch kontrollieren.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.