400-GBit/s-DDoS-Angriffe: LizardStresser-Botnetz nutzt wachsende Zahl an IoT-Geräten

Botnet (Bild: Shutterstock.com/kentoh)

Dass viele IoT-Geräte Standardzugangsdaten verwenden und nur unzureichend geschützt sind, spielt Botnetz-Betreibern in die Hände. Die Geräte lassen sich somit einfach als Slave in die Botnetz-Infrastruktur einbinden und ihre Bandbreite für Angriffe verwenden.

Wie Sicherheitsforscher von Arbor Networks’ ASERT Group festgestellt haben, macht sich das von Cyberkriminellen für DDoS-Angriffe verwendete Botnetz LizardStresser die ständig wachsende Zahl von IoT-Geräten zunutze, um seine Struktur zu stärken und groß angelegte Angriffe mit einem Durchsatz von bis zu 400 GBit/s auf weltweite Spiele-Websites, brasilianische Finanzinstitute, Internet Service Provider und Regierungseinrichtungen durchzuziehen.

Das von der berüchtigten Hackergruppe Lizard Squad geschaffene Distributed-Denial-of-Service-Tool war ursprünglich für Angriffe auf Online-Medien und Regierungsbehörden genutzt worden. Es setzt sich wie alle Botnetze aus Kontrollservern und zahlreichen kompromittierten Slave-Systemen zusammen, mit denen Domains mit Anfragen überflutet werden, sodass die auf ihnen gehosteten Dienste gestört werden.

Als der Quellcode des Botnetzes 2015 öffentlich wurde, bekamen Kriminelle die Möglichkeit, eigene Rechnerverbunde auf Basis des LizardStresser-Frameworks aufzubauen. Die Zahl der Command-and-Control-Server (C&C-Server) hat sich seitdem laut Arbor stetig erhöht. Einige von ihnen griffen vor allem auf IoT-Geräte zu, die oft nur unzureichend geschützt sind, darunter WLAN-fähige Kameras, Überwachungssysteme, Lichtsysteme und sogar auch Kühlschränke.

Das Botnetz, das in C geschrieben und für Linux-Systeme designt wurde, kann einfach kompiliert, ausgeführt und an Architekturen wie x86, ARM sowie MIPS angepasst werden, welche die häufigsten Plattformen für vernetzte Geräte darstellen. Die Versionen, die auf IoT-Produkte abzielen, versuchen via Telnet mittels Brute-Force-Methoden sich an zufälligen IP-Adressen mit fest kodierten Listen von Nutzerzugangsdaten anzumelden. Für IoT-Geräte, bei denen die fest kodierten Anmeldedaten nicht gewechselt werden können oder bei denen der Nutzer eine manuelle Änderung versäumt hat, besteht so die Gefahr, zu Botnetz-Slaves zu werden.

“Im Fall von DDoS-Malware ist der Wert des Opfers, wie viel Bandbreite es zum Angriffsdatenverkehr beitragen kann”, erklärt Arbor. “Wenn eine Maschine bereits kompromittiert wurde, wird seine Bandbreite wahrscheinlich missbraucht. Der Angreifer kann versuchen, konkurrierende Malware zu entfernen, aber das ist zeit- und arbeitsaufwendig.”

(Bild: Shutterstock.com/kentoh)
(Bild: Shutterstock.com/kentoh)

Die Spezialisten des ASERT-Teams haben sich zwei LizardStresser-Botnetze näher angesehen, die wahrscheinlich von einer einzelnen Gruppe aufgesetzt wurden. In ihrem Fokus stehen Ziele in Brasilien und Gaming-Dienste. Die beiden Botnetze haben in diesem Jahr bereits Angriffe auf mehrere Ziele gestartet, einen davon mit einer Gesamtstärke von mehr als 400 GBit/s Durchsatz, ausgehend von tausenden Quelladressen.

Von diesen DDoS-Attacken waren bislang zwei brasilianische Banken, zwei brasilianische Telekommunikationsanbieter, zwei brasilianische Regierungsbehörden und drei große Spielefirmen in den Vereinigten Staaten betroffen. Der Traffic stammte hauptsächlich aus Vietnam und Brasilien.

Wie das ASERT-Team feststellte, trugen fast 90 Prozent der beteiligten Hosts im Slave-Netzwerk den HTML-Titel “NETSurveillance WEB”, was ein generischer Code von internetfähigen Webcams ist, die nicht nur mit Standard-Anmeldedaten online sind, sondern auch mit werksseitig aktiviertem Telnet. “Nach minimalen Nachforschungen hinsichtlich Standardpasswörtern für IoT-Geräte, sind [die Angreifer] in der Lage, ihren Botnetzen eine exklusive Opfergruppe hinzuzufügen”, so die Sicherheitsforscher.

Erst im April diesen Jahres war es dem Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund), der Cybercrime-Einheit der ukrainischen Polizei, den Cyber Security Centrum (CyS Centrum) aus Kiew und dem Sicherheitsanbieter Eset in einer gemeinsamen Aktion gelungen, das weltweit aktive Linux-Botnetz “Mumblehard” zu zerschlagen. Sie werten dies als “bedeutenden Schlag gegen Infektion und Missbrauch von Webservern”. Über das Botnetz wurden weltweit massenhaft Spam-Mails versendet.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.