-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Dennis Lenz •
Seit September 2017 nimmt die Anzahl infizierter Internet of Things (IoT) Geräte drastisch zu. Kriminelle Hacker nutzen Sicherheitslücken aus, um die Geräte ihrem Botnetz hinzuzufügen. Der aktuelle Bot verwendet Teile des bekannten Mirai Bots, der 2016 für große Probleme gesorgt hat.
Vor dem neu aufgebauten Botnetz, das bereits weltweit mehrere hunderttausend Geräte infiziert hat, warnen aktuell mehrere Sicherheitsunternehmen. Die noch unbekannten Hacker nutzen Sicherheitslücken in der Software verschiedener IoT-Geräte aus um zum Beispiel Netzwerkkameras, Router und NAS-Systeme anzugreifen. Zu den betroffenen Herstellern gehören unteranderem Goahead, D-Link, TP-Link, Avtech, Netgear, Mikrotik, Linksys und Synology. Laut einem Forschungsbericht des israelischen Cybersecurity-Unternehmens Checkpoint sind weltweit bereits mehr als eine Million Geräte infiziert.
Das neuentstandene Botnetz wurde von der chinesischen Sicherheitsfirma Qihoo 360 Netlab ebenfalls entdeckt. Ihre Untersuchung kam zu dem Ergebnis, dass der Code des aktuellen Bots teilweise vom Mirai-Botnetz, das im Jahr 2016 für große Störungen des Internets verantwortlich war, kopiert wurde. Die Infizierungswege unterscheiden sich jedoch deutlich. Mirai durchsuchte das Netz nach Geräten die angreifbar waren, weil sie ohne Firewall und mit den Standardpasswörtern der Hersteller betrieben wurden. Der neue Bot nutzt gezielt Exploits aus um IoT-Hardware zu infizieren.
Um DDos-Angriffe auszuführen, setzten die Ersteller des neuen Bots auf die Programmiersprache Lua, die es ermöglicht sehr komplexe und wirkungsvolle Scripte zu erstellen. Außerdem verhält sich der Bot insgesamt unauffälliger was zu einer langsameren Erkennung führt. Das aggressive Portscanning des Vorgängers wird nicht mehr verwendet.
Über einen Namen sind sich die Sicherheitsfirmen noch nicht einig geworden. Checkpoint taufte das Botnetz auf IoTroop während Netlab dem Bot den Namen IoT_Reaper gab. Attacken die durch das Botnetz auf Webseiten oder Internet-Infrastruktur ausgeführt wurden sind bisher nicht bekannt. Checkpoint ist der Meinung, dass dies jedoch nur "die Ruhe vor einem noch mächtigeren Sturm" ist.
Netlab fand heraus, dass die Betreiber in den vergangenen Tagen neue Exploits in den Bot eingebaut haben. Darunter befindet sich auch eine Sicherheitslücke die erst seit wenigen Tagen der Öffentlichkeit bekannt ist. Es deutet also alles daraufhin, dass die Betreiber sehr professionell arbeiten und gute Kontakte in die Szene haben um stets neue Sicherheitslücken für ihren Bot zu bekommen.
Mirai, das Vorgänger Botnetz, sorgte letztes Jahr für die bisher größten DDoS-Attacken. Betroffen waren unteranderem der DNS-Provider Dyn, Amazon, Twitter, Level3 aber auch Webseiten der New York Times und andere bekannte Portale.