Het Duitse BSI, een overheidsorganisatie die over informatiebeveiliging gaat, heeft bekendgemaakt dat de problemen met Telekom-routers voortkomen uit een wereldwijde aanval op kwetsbare apparaten.
De organisatie laat weten dat de aanval plaatsvond op 'bepaalde poorten die worden gebruikt voor beheer op afstand', zonder te melden om welke poorten het precies gaat. Het BSI komt tot deze conclusie, omdat het de aanval ook op overheidssystemen in eigen beheer heeft kunnen waarnemen, maar in staat was om deze af te slaan. De organisatie zegt de reactie op de aanval samen met de Duitse tegenhanger van het NCSC te coördineren. De aanval zou tot doel hebben gehad om de routers met malware te infecteren.
De getroffen provider Deutsche Telekom heeft inmiddels via een bericht op zijn website laten weten dat er een patch voor de getroffen routers beschikbaar is. Gebruikers kunnen deze automatisch binnenhalen door de stekker van hun apparaat gedurende dertig seconden niet in te pluggen. Uit de melding is verder op te maken dat het bij de getroffen routers om het model Speedport W921V gaat. Uit eerdere berichten kwam naar voren dat ongeveer 900.000 klanten van de provider sinds zondagavond last hebben van een storing, waardoor zij geen of nauwelijks verbinding kunnen maken met internet. Deutsche Telekom liet weten dat de problemen mogelijk voortkomen uit een hackaanval.
Op de site van het Amerikaanse Internet Storm Center verscheen maandag een bericht waarin wordt gewaarschuwd dat in de afgelopen dagen steeds meer aanvallen plaatsvinden op poort 7547. Er wordt gesuggereerd dat dit de oorzaak is van de problemen bij de Duitse provider. Uit een scan zou blijken dat ongeveer 41 miljoen met het internet verbonden apparaten deze poort open hebben staan, waardoor deze 'eenvoudig een tweede Mirai-botnet zouden kunnen vormen'.
De verzoeken aan de poort zouden gebruik proberen te maken van een rce-lek in het TR-069-protocol, dat mogelijk aanwezig is in routers van de Telekom en een Ierse provider. Het is momenteel onduidelijk of dit daadwerkelijk de oorzaak is van de aanvallen op de Telekom-routers.