Silex: Neue Malware legt schlecht gesicherte Geräte im Internet of Things still
Die Malware Silex kapert mit Default-Credentials IoT-Geräte, um sie lahmzulegen. Ihr 14-jähriger Entwickler handelt offenbar aus Spaß.
(Bild: geralt)
- Dieter Petereit
- Olivia von Westernhagen
Ein Sicherheitsforscher hat eine Malware namens Silex entdeckt, die derzeit schlecht gesicherte Geräte im Internet der Dinge (Internet of Things, IoT) angreift. Sie versucht, sich via Telnet und unter Verwendung bekannter Default-Login-Daten Zugriff auf die Geräte zu verschaffen, um diese anschließend schrittweise unbrauchbar zu machen. Potenzielle Angrifssziele für Silex sollen alle Geräte mit UNIX-artigem Betriebssystem sein. Der angerichtete Schaden lässt sich nur durch eine Neuinstallation der Firmware beheben.
Wieviele Geräte Silex bislang infiziert hat, ist nicht bekannt. Anhaltspunkte für die Geschwindkeit der Silex-Verbreitung gibt eine Meldung auf der IT-Nachrichten-Webseite ZDNet, deren Autor sich nach eigenen Angaben sowohl mit dem Entdecker als auch mit dem Entwickler der Malware unterhalten hat.
Demnach begann Silex seine Aktivitäten am gestrigen Nachmittag. Zu initial 350 infizierten Geräten seien innerhalb von zwei Stunden 1650 hinzugekommen. Die Angriffe seien noch in vollem Gange und der Schadcode-Entwickler plane, sie in den kommenden Tagen zu intensivieren.
Parallelen zu BrickerBot
Entdeckt wurde Silex von dem IT-Sicherheitsexperten Larry W. Cashdollar, der am gestrigen Dienstag via Twitter auf die Bedrohung aufmerksam machte. Er wies in diesem Zusammenhang auch auf die Ähnlichkeit zwischen den derzeitigen Malware-Aktivitäten und den BrickerBot-Angriffen aus dem Jahr 2017 hin. Damals wurden mehrere Millionen Geräte lahmgelegt.
Zerstörung als einziges Ziel
Hat Silex Zugriff auf ein Gerät erlangt, verschafft er sich zunächst einen Überblick über Laufwerke und Partitionen, um diese anschließend ausnahmslos mit Zufallsdaten zu überschreiben. Danach löscht Silex die Netzwerk-Konfiguration des Geräts nebst Firewall-Einstellungen. Zu guter Letzt nutzt die Malware den Shell-Befehl rm -rf, um noch verbliebene Inhalte zu löschen. Dann stoppt sie das Gerät oder initiiert einen Neustart.
(Bild: Larry W. Cashdollar / Twitter )
Das betroffene Gerät ist danach unbrauchbar und funktionslos. Um dies zu ändern, müsste die Firmware des Geräts neu installiert werden. Diese Aktion dürfte die meisten Besitzer überfordern. Zudem ist wahrscheinlich, dass sie hinter den durch Silex hervorgerufenen "Symptomen" oftmals einen Hardware-Defekt vermuten und das Gerät im Zweifel einfach wegwerfen.
14-jähriger Silex-Entwickler handelt wohl aus Spaß
Der Sicherheitsforscher Ankit Anubhav wurde durch Cashdollars Tweets auf den Vorgang aufmerksam und kam dem Urheber der Malware schließlich auf die Spur. Es soll sich um einen 14-jährigen Hacker aus Europa handeln, der unter dem Pseudonym Light Leafon auftritt.
Dieser bestätigte sowohl gegenüber Anubhav als auch gegenüber ZDNet seine Urheberschaft, mit der er keine finanziellen Interessen verbinde. Das Projekt habe als bloßer "Spaß" begonnen und sich nun zum Vollzeit-Projekt entwickelt, für das er das – ebenfalls von ihm stammende – IoT-Botnetz HITO mittlerweile aufgegeben habe. Light Leafon hatte Anubhav etwa einen Monat zuvor ein bei Soundcloud verfügbares Interview zu HITO gegeben.
Dabei sei Silex in seiner jetzigen Form nur der Anfang. Leafon gab an, künftig weitere Features einbauen zu wollen, so etwa Angriffsmöglichkeiten via SSH sowie die Nutzung von Exploits statt Default-Zugangsdaten. Das würde die aktuell wirksamen Schutzmaßnahmen – nämlich das Schließen des Telnet-Ports und das Ändern der von den Herstellern voreingestellten Credentials – aushebeln.
Mittlerweile steht die IP-Adresse des (im Iran stehenden) Silex-Command-and-Control-Servers auf der Blacklist von URLHaus. Zudem ist ein Sample der Silex-Malware beim Online-Scandienst VirusTotal verfügbar. (ovw)
