Neues IoT-Botnet aus IP-Kameras, Routern und NAS-Boxen formiert sich [Update]

Botnet (Bild: Shutterstock.com/kentoh)

Forscher von Check Point bemerken seit September eine deutliche Zunahme infizierter IoT-Geräte. Das Mirai-Botnet sorgte 2016 durch den Angriff auf die Telekom-Router für Schlagzeilen. Womöglich deutlich umfassendere Angriffe könnten unmittelbar bevorstehen.

Das Threat-Research-Team von Check Point hat in den letzten Wochen einen deutlichen Anstieg von Infektionen bei IP-Kameras, Routern von Privatanwendern und NAS-Geräten im SOHO-Umfeld bemerkt. Aber auch vorzugsweise in Firmen verwendete Produkte, etwa ein Netzwerk-Management-System, werden angegriffen. Für die Infektion wird immer der gleiche – offenbar aber noch in Entwicklung befindliche Schadcode eingesetzt. Die infizierten Geräte werden alle von einem Punkt aus durch einen Angreifer kontrolliert.

Botnetz Warnung (Grafik: Shutterstock)

Update, 21. Oktober 0 Uhr 18: Die Meldung wurde um die untenstehenden Erkenntnisse des chinesichen Security-Anbieters Qihoo ergänzt.

Das deutet den Check-Point-Experten zufolge alles auf einen bevorstehenden IoT-Botnet-Sturm mit womöglich gravierenden Auswirkungen auf weite Teil des Internets hin. Die von dem neuen Botnet ausgehenden Attacken könnten ihnen zufolge die durch das Mirai-Botnet im vergangenen Jahr deutlich übertreffen.

Wie sich IoT_reaper von Mirai unterscheidet

Auch Experten des chinesischen IT-Security-Anbieters Qihoo haben über Erkenntnisse zu dem Botnet berichtet. Ihnen zufolge wurde ein kleiner Teil des Codes von der Mirai-Malware entlehnt. Allerdings unterscheidet sich der Rest und auch das Vorgehen der Angreifer deutlich davon.

Beispielsweise werde nicht mehr versucht, schwache Passwörter zu knacken, sondern werden bekannte Schwachstellen in IoT-Geräten ausgenutzt. Außerdem eigne sich die von ihnen “IoT_reaper” genannte Malware für komplexere Angriffsszenarien. Und da sie nur vorsichtig scanne, bleibe sie bei vielen Sicherheitslösungen unterhalb der Schwellwerte.

Check Point (Grafik: Check Point)

Das im Aufbau befindliche Botnet ist nicht der erste Mirai-Nachfolger oder Nachahmer. Mit Brickerbot, Hajime und Persirai kaperten diverse Schadprogramme schon vernetzte, respektive IoT-Geräte. Bemerkenswert ist an der aktuellen Neuauflage aber offenbar die besonders systematische Rekrutierung von Bots. Check Point konnte in über 60 Prozent der an seine Threat Cloud berichtenden Unternehmensnetzwerken Angriffsversuche feststellen.

Bereits über eine Million Netzwerke infiziert

Das Threat-Research-Team bei Check Point geht derzeit bereits von über einer Million Netzwerken aus, die infizierte Geräte enthalten. Seiner Analyse zufolge dürfte der Aufbau des Botnets bald abgeschlossen sein. Sie sprechen von der Ruhe vor dem Sturm und orakeln dunkel: “Der nächste Cyber-Hurrikan steht bevor.”

Die untersuchten Aktivitäten ähnelten auf den ersten Blick denen beim Mirai-Botnet. Sie seine aber ausgefeilter und komplexer. Zum Beispiel verbreite sich die verwendete Malware wurmartig – also von einmal befallenen Geräten aus, nicht nur von einer zentralen Stelle.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Um darüber zu spekulieren, wer hinter dem Botnet steckt und welche Absichten damit verfolgt werden, ist es noch zu früh. Niemals zu spät ist es dagegen, Anwender darauf hinzuweisen, für die Gerätekategorien die auch diesmal im Mittelpunkt stehen, grundlegende Sicherheitsmaßnahmen wie die Änderung des Default-Passwortes und das Einspielen von Updates vorzunehmen.

Dem Check-Point-Bericht zufolge werden von den Hintermännern des neuen Botnets Sicherheitslücken und – wahrscheinlich oft ältere – Schwachstellen in IP-Kameras, Routern, WLAN-Access-Points und NAS-Geräten ausgenutzt. Auf der von ihnen erstellten Liste stehen unter anderem Geräte von Belkin/Linksys (Belkin Linksys WRT110, Belkin Linksys E1500/E2500), D-Link (die Router D-Link 850L, D-Link DIR-600/300 sowie der Serie D-Link DIR800) und Netgear (unter anderem Router und ReadyNAS-Boxen, aber auch das Management-System Netgear ProSAFE NMS300). Außerdem wird von den Angreifern offenbar eine Lücke im Synology DiskStation Manager und in Linux ausgenutzt.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.