zurück zum Artikel

Botnetz scannt das Internet mit Hilfe von gehackten EndgerÀten

Uli Ries

Ein Hacker hat einen eigenen "Internet Census 2012" mittels eines extra dafĂŒr eingerichteten Botnetzes erstellt. Ergebnis der Aktion: 420 Millionen aktive GerĂ€te antworten auf Anfragen - und jede Menge Sicherheitslecks kommen ans Licht.

Ein bislang unbekannter Hacker hat eine Art VolkszĂ€hlung des Internets umgesetzt: FĂŒr den Internet Census 2012 [1] infizierte er cirka 420.000 schlecht geschĂŒtzte Embedded Devices mit der nach seiner Auskunft harmlosen Botnetz-Software Carna. "Schlecht geschĂŒtzt" bedeutet in diesem Fall, dass entweder gar keine Logindaten notwendig waren oder Standardwerte wie "root:root" oder "admin:admin" ans Ziel fĂŒhrten.

Der Hacker gibt auch auf Nachfrage von heise security keinerlei Details zu seiner Person bekannt. Die US-Newssite CNet [2] schreibt, dass der Autor des Netzwerkscanningtools nmap, Gordon Lyon (Fyodor), selbst hinter dem Scan steht. Es dĂŒrfte sich hier jedoch um ein MissverstĂ€ndnis handeln: nmap wurde im Rahmen des Internet-Scans zwar verwendet. Es gibt darĂŒber hinaus aber keinerlei Beleg, dass Fyodor tatsĂ€chlich selbst hinter der rechtlich mindestens zweifelhaften Aktion steht. GegenĂŒber heise security erklĂ€rte er auch: "Dies ist ein interessante Untersuchung, aber die eingesetzten Methoden sind eindeutig illegal und ich hatte damit nichts zu tun." Rechtlich zweifelhaft ist die Aktion, weil der Unbekannte die je nach Prozessorarchitektur zwischen 46 und 60 KByte große Botnetz-Software auf fremde GerĂ€te hochlud, ohne die EigentĂŒmer der Hardware zuvor zu kontaktieren.

Auf diese Weise konnte der Hacker die Scangeschwindigkeit vervielfachen. Rechtlichen Beistand holte sich der Hacker vor Start der Aktion jedenfalls keinen ein, wie er auf Nachfrage schrieb. Die Resultate der Scans packt der VolkszÀhler in faszinierende Grafiken [3]. Er erfasst alle IP-Adressen, die mindestens zweimal zwischen Juni und Oktober 2012 auf eine der 52 Milliarden verschickten Ping-Anfrage reagiert haben. Insgesamt 420 Millionen IP-Adressen beziehungsweise GerÀte antworteten auf die Anfrage.

Es blinkt so schön. Eine der GIF-Dateien stellt die Ping-Anfragen in einem Zeitraum von 24 Stunden auf der Weltkarte dar.

(Bild: Internetcensus2012 (GIF) [4] )

Deutlich spannender ist jedoch ein anderes Ergebnis der Aktion: wie groß die Anzahl der schlecht gesicherten NetzwerkgerĂ€te im Internet ist. Der Hacker verzichtete nach eigener Auskunft darauf, sich im jeweiligen Intranet umzusehen, zu dem die infizierten GerĂ€te gehörten. Auf Nachfrage von heise security schrieb er, dass es "ein Leichtes" gewesen wĂ€re den Botnetz-Code um entsprechende Funktionen zum Infiltrieren der Intranets zu erweitern.

Sein Bestreben, durch den Bot möglichst keinen Schaden anzurichten, untermauert der Unbekannte durch die Aussage, dass der Scan mit der niedrigsten PrioritĂ€t ausgefĂŒhrt wurde und die BinĂ€rdatei durch einen Neustart vom GerĂ€t flog. WĂ€hrend der ZĂ€hlung sorgten die umliegenden Bots aber dafĂŒr, dass der Bot-Code erneut installiert wurde.

Zusammen mit der Binary lud der Hacker noch eine Readme-Datei auf die GerĂ€te hoch. Sie erklĂ€rte das Projekt und nannte eine E-Mail-Adresse fĂŒr RĂŒckfragen. Lediglich zwei Anfragen gingen in diesem Postfach ein. Beide Fragen stammten von Betreibern von Honeypots, die der Internet-Scanner infiziert hatte. (kbe [5])

URL dieses Artikels:
https://www.heise.de/-1825634

Links in diesem Artikel:
[1] http://internetcensus2012.github.com/InternetCensus2012/paper.html
[2] http://news.cnet.com/8301-1009_3-57574919-83/what-420000-insecure-devices-reveal-about-web-security/
[3] http://internetcensus2012.github.com/InternetCensus2012/images.html
[4] http://internetcensus2012.github.com/InternetCensus2012/images/geovideo_lowres.gif
[5] mailto:kbe@heise.de

Copyright © 2013 Heise Medien