IoT-Wurm Hajime kapert 300.000 Geräte

CyberkriminalitätSicherheit

Obwohl die Hacker hinter der Malware Hajime ein riesiges Botnet unter Kontrolle haben, wird es bislang nicht eingesetzt. Sicherheitsforscher spekulieren über einen “guten Schädling”.

Der IoT-Wurm Hajime soll laut Sicherheitsforschern bereits mehr als 300.000 Internet-fähige Geräte wie Router, Webcams oder Videorekorder unter Kontrolle gebracht haben. Laut Kaspersky Labs soll der Schädling seit Herbst 2016 im Umlauf sein und ein gigantisches P2P-Botnet gebildet haben. Unbekannt aber ist bislang, welchem Zweck dieses Botnetzes dient.

In den vergangenen Monaten soll sich Hajime stetig weiterentwickelt haben. Laut Kaspersky sollen die Hintermänner immer wieder neue Funktionen hinzufügen oder entfernen. Die Hacker profitieren darüber hinaus von schlecht geschützten IoT-Geräten wie Webcams, Routern oder digitalen Videorekordern aus.

Die Geräte haben meist noch voreingestellte Telnet- und Gerätepasswörter. Gezielt gehen sie dabei unter anderem gegen Kabelmodems des Anbieters Arris vor. Neu ist ein Angriff auf eine Sicherheitslücke im Datenaustauschprotokoll TR-069, das für die Fernwartung von Endgeräten beim Kunden benutzt wird. Davon betroffene Router und Modems sind anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Hajime kann aber sämtliche internetfähige Geräte befallen. Im Fall der Telnet-Angriffe soll eine Routine, bei der die Willkommensnachricht des entfernten Geräts geprüft wird, die Erfolgsquote erhöhen. Enthält sie bestimmte Wörter wie Namen von Herstellern oder Modellbezeichnungen, werden per Brute Force bestimmte Kombinationen aus Nutzernamen und Passwort übermittelt, um einen Telnet-Zugang zu erhalten.

Meldet sich auf eine Telnet-Anfrage ein Gerät des Herstellers Arris, nehmen die Hacker eine seit 2009 bekannte Sicherheitslücke ins Visier. Die “Passwort des Tages” genannte Anfälligkeit beruht auf der Möglichkeit, ein täglich neu generiertes Zugangspasswort zu erraten. Einige Internet Service Provider haben dieses leck auch nach mehreren Jahren noch nicht geschlossen.

Mit einem Honeypot registrierten die Forscher zudem innerhalb von 24 Stunden alleine 2593 erfolgreiche Hajime-Angriffe per Telnet. Die meisten (20,04 Prozent) richteten sich gegen Nutzer in Vietnam, gefolgt von Taiwan, Brasilien, der Türkei, Korea und Indien. Insgesamt fanden sie 297.499 eindeutige infizierte Hosts, die eine Konfigurationsdatei für Hajime anforderten. 58.465 Hosts befanden sich anhand ihrer IP-Adresse im Iran, 26.188 in Brasilien und 23.418 in Vietnam. Auf den weiteren Plätzen folgen Russland, die Türkei, Indien, Pakistan und Italien.

“Die faszinierendste Sache an Hajime ist jedoch dessen Zweck. Obwohl das Botnet immer größer und größer wird, zum Teil durch neue Angriffsmodule, bleibt der Nutzen unbekannt. Wir haben keine Angriffe oder gefährlichen Aktivitäten beobachtet”, heißt es im Kaspersky-Blog. “Und vielleicht wird das auch nicht geschehen.” Ihre Vermutung begründen die Forscher mit einer Nachricht, die Hajime anzeigt, sobald eine neue Konfigurationsdatei heruntergeladen wurde. Darin heißt es: “Nur ein White Hat, der einige Systeme absichert. Wichtige Nachrichten werden wie diese signiert. Hajime-Autor.”

Ob das wirklich vertrauenswürdig ist oder nicht, bleibt Kaspersky zufolge abzuwarten. Trotzdem rät das Unternehmen den Nutzern von IoT-Geräten, voreingestellte Passwörter zu ändern, nur Kennwörter zu verwenden, die per Brute Force nicht geknackt werde können und falls möglich die Gerätesoftware zu aktualisieren.

Radware weist darauf hin, dass das Botnetz unabhängig von den Motiven seiner Hintermänner auch für kriminelle Zwecke benutzt werden könnte. Erst kürzlich sei eine Anfälligkeit in Hajime geschlossen worden, die es Dritten erlaubt hätte, die Kontrolle über das Botnet zu übernehmen. Da Hajime extrem flexibel und ausbaufähig sei, sei es auch ein sehr attraktives Ziel für konkurrierende Hacker.

Sicherheitsforscher von Symantec vermuten, dass der Schädling auch als eine Art Sicherung dienen soll. Als weiteres Beispiel für dieses Vorgehen nennt Symantec-Sicherheitsexperte Waylon Grange die Schadsoftware BrickerBot, der so weit ging, anfällige Geräte unbrauchbar zu machen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen