Massenhaft mit Malware infizierte IoT-Geräte richten großen Schaden an – es sei denn, sie sind zu dumm dazu.
Es gibt einen regelrechten Markt für IoT-Botnetze. Die Botnetzbetreiber selbst haben oft nichts mit den anschließenden DDoS-Attacken zu tun. Diese gehen von den jeweiligen Mietern der Netze aus. In einem Tarnkappe-Interview erklärte der Betreiber des DDoS-Dienstes free-boot.to, dass es viel zu aufwendig wäre, sich eine eigene Bot-Armee zu züchten. Daher setzen Zeitgenossen wie er auf gehackte virtuelle Server – oder eben auf schlüsselfertige Botnetze.
Wie mächtig solche Angriffe dann in der Praxis anrollen, mussten beispielsweise der weltweit drittgrößte Internet-Hoster OVH vor einiger Zeit erfahren: Ein aus gut 100.000 gekaperten IoT-Geräten – darunter Raspberry-Pi-Mini-Computer – bestehendes Botnetz schickte über 1 Terabit Datenmüll pro Sekunde in Richtung des Hosters. Zwar war der Spuk nach einigen Minuten wieder vorbei – aber auch nur, weil OVH sich eines Anti-DDoS-Dienstleisters bediente, der den Datenverkehr bereinigte, bevor er ihn an die OVH-Server weiterreichte. Ohne solche spezielle Unterstützung ertrinkt wahrscheinlich jedes Rechenzentrum im Daten-Tsunami. Wie der Internet-Dienstleister Akamai anhand eines DDoS-Angriffs im Juni 2020 auf eine europäische Bank ausführt, schwoll der Datenstrom zuerst binnen Sekunden vom normalen Maß auf gut 420 GBit/s an; nach zwei Minuten pendelte er sich dann beim Doppelten dessen ein. In so kurzer Zeit kann auch das beste IT-Sicherheitsteam im angegriffenen Rechenzentrum nicht reagieren.
DNS-Anbieter Dyn, zu dessen Kunden unter anderem Airbnb, Amazon, Netflix, SoundCloud oder Visa gehören, hatte vor einigen Jahren einen fast zweieinhalbstündigen Ausfall zu verzeichnen – der angesichts der illustren Kundenliste weite Teile des Internets in den Timeout Zwang. Grund des Ausfalls: Das Mirai-Botnet, der Urvater aller IoT-Botnet-Schädlinge.
Teilen? Niemals!
Viele Bots bedeuten also viel Profit. Um ihre Zombienetze zu vergrößern, säubern die Cyberkriminellen mitunter sogar IoT-Geräte, die bereits von einer anderen Malware befallen sind, und bringen sie anschließend durch Installation der eigenen Schadsoftware unter Kontrolle. Dies geht aus einem Report von Trend Micro hervor, dessen Autoren die drei gängigen IoT-Malware-Familien Mirai, Kaiten und Qbot unter die Lupe nehmen. Gegen die Koexistenz verschiedener Schädlinge spricht dem Report zufolge, dass sich die Täter dann die Bandbreite des Internet-Anschlusses des Opfers teilen müssten.
Daher überrascht es nicht, dass jeder der untersuchten Schädlinge Funktionen im Programmcode unterbringt, der zum Ausschalten der Konkurrenz dienen. Eine Momentum getaufte IoT-Schadsoftware bringt sogar eine Liste von 438 abzuschießenden Prozessen mit, die anderen Router-Schädlingen zu zuordnen sind. Möglich ist die erneute Infektion, wenn der Bot-Master, der zuerst zum Zuge kam, gängige Ports wie 22 (SSH) oder 23 (Telnet) offen lässt bzw. die Kennwörter nicht ändert. Trend Micro zufolge gibt es in den einschlägigen Cybercrime-Foren auch Support-Beiträge, die erklären, wie Botnetz-Betreiber ihre Netze vor feindlichen Übernahmen schützen können – Cybersicherheit von Dieben für Diebe.
Zombies, die Kleingeld schürfen
Nicht immer beschränken sich die Herrscher der Bot-Armeen auf DDoS-Attacken. Im Fall der IoT-Malware Gitpaste-12 fanden Sicherheitsforscher von beispielsweise eine Funktion im Code, die die infizierten Geräte zum Berechnen der Kryptowährung Monero verdammt.
Ob das überhaupt funktioniert, ist jedoch fraglich. Gitpaste-12 ist nach LiquorBot und Linux.MulDrop.14 schon der dritte IoT-Schädling, der sich am Schürfen virtueller Währungen versucht. Im Fall von Linux.MulDrop.14 nahmen die Malware-Schreiber die betreffende Funktion aber nach einigen Wochen wieder aus dem Code. Offenbar ist die befallene Hardware zu schwachbrüstig, um nennenswerte Rechenleistung zu liefern. Und das, obwohl Linux.MulDrop.14 auch Raspberry-Pi-Rechner befiel, die deutlich mehr Compute-Power abliefern als gängige Router oder Webcams.
Wie aussichtslos das Unterfangen ist, zeigt eine Berechnung: Als das Mirai-Botnet in seiner Hochphase gut 2,5 Millionen Geräte unter seiner Kontrolle hatte, hätte diese Bot-Armee täglich Bitcoins im Gegenwert von stolzen 25 Cent errechnen können. Mehr Erfolg versprechen da schon die Ansätze der Macher von Vollgar und PGMiner. Diese Schädlinge schürfen ebenfalls Monero – stürzen sich hierzu aber auf ausgewachsene, schlecht gesicherte Datenbankserver (PostgreSQL im Fall von PGMiner, Microsoft SQL im Fall von Vollgar). An deren Rechenleistung kommt auch das breiteste IoT-Botnet nicht heran.