Geräte wie Webcams, Router oder Netzwerkfestplatten hängen massenhaft im Internet (of Things) – Kriminelle basteln daraus ihre Botnetze.
So sieht der perfekte Sturm aus: Hersteller und Anwender verpassen jedem Haushalts-, Elektro- oder Industriegerät eine IP-Adresse und packen es damit ins Internet der Dinge. Gleichzeitig sind diese Gerätschaften oft schlecht konfiguriert und mit den werkseitigen gesetzten Standardpasswörtern im Betrieb bzw. nicht ordentlich vom Internet abgeschottet.
Router zum Durchprobieren
In der Regel bekommen Kriminelle per Brute-Force-Attacke Zugriff auf die Geräte: Besitzer verändern das voreingestellte Admin-Passwort des übers Internet erreichbaren IoT-Endgeräts nicht, sie verwenden Kennwort, das leicht zu erraten ist, oder der Hersteller verankert ein Kennwort für den Telnet-Zugang fest in der Firmware. Wie schlampig manche Hersteller mit Kennwörtern umgehen, beleuchtet der im Sommer 2020 vom Fraunhofer FKIE vorgelegte Home Router Security Report.
Die automatisierte Untersuchung von 127 Router-Firmwares belegt, dass 50 Modelle mit fest hinterlegten Kennwörtern ausgeliefert werden, 16 davon sind offenbar leicht zu knacken. Das von der Kaiten-Malware verwendete Python-Skript beispielsweise probiert eine Liste von Nutzernamen und (einfachen) Passwörtern wie „root“, „admin“, „test“ oder „redtube“ durch. Trend Micro registriert Monat für Monat Millionen von Brute-Force-Versuchen – bis zu 250 Millionen an Routern in aller Welt waren in einzelnen Monaten zu verzeichnen. Außerdem ermittelte Trend Micro innerhalb einer Woche gut 16.000 von Routern ausgehende Telnet-Login-Versuche – ein Anzeichen für die Suche nach weiteren verwundbaren Geräten.
Durch ungepatchte Schwachstellen
Die Muhstik-Malware beispielsweise geht gezielt auf Router los, die mit dem Betriebssystem Tomato laufen und deren voreingestellte Login-Daten nicht geändert wurden. Klappt die Anmeldung, gehört der Router von diesem Moment an zum Muhstik-Botnet. Ein Schädling namens Kaiji ist nicht so wählerisch: Die Malware scannt das Internet nach offenen ssh-Ports und versucht, sich mit einer Liste von Standardnutzernamen und -passwörtern einzuloggen.
Oftmals kommen IoT-Komponenten ab Werk mit löchriger Firmware. Sicherheitsupdates, sofern die Hersteller überhaupt welche anbieten, installieren die Gerätebesitzer nur selten. Wie nötig solche Updates wären, zeigte sich einmal mehr Mitte Januar 2021: Sicherheitsforscher fanden ein DNSpooQ getauftes Bündel aus sieben, teilweise fatalen Sicherheitslücken in Dnsmasq. Das Open-Source-Tool läuft unter anderem auf Millionen von Linux-Endgeräten, beispielsweise auch auf den EdgeRouter-Modellen von Ubiquiti. Ohne Update – einige Hersteller haben bereits reagiert – lassen sich die DNS-Funktionen des Tools aus der Ferne manipulieren und so ganze Netzwerke auf bösartige Phishing-Server umleiten.
Die Masse macht’s
Die Vergangenheit hat gezeigt, dass solche Lücken gnadenlos ausgenutzt werden. So infiziert der Katana getaufte Nachfahre des legendären IoT-Schädlings Mirai den Antivirenforschern von Avira zufolge täglich einige hundert Geräte.
Dass der Trend zur vernetzten Hardware ungebrochen und nicht aufzuhalten ist, spielt Kriminellen dabei in die Hände: Je mehr verwundbare Hardware im Netz hängt, umso mehr Bots lassen sich rekrutieren. Marktforschern zufolge ist das IoT bereits über 25 Milliarden Endgeräte stark. Die Zahl soll in den kommenden Jahren auf ein Mehrfaches anwachsen.
Haben sie die IoT-Geräte einmal mit Malware infiziert, missbrauchen die Kriminellen die verseuchten Gerätschaften typischerweise für DDoS-Attacken und für die Weiterverbreitung der jeweiligen Schadsoftware. Je mehr IoT-Bots zum Netz gehören, desto besser und durchschlagkräftiger sind dann auch die Erpressungsversuche, bei denen beliebige Unternehmen ins Visier geraten können. Die Schadsoftware überschwemmt die Netze der Opfer in der Regel mit TCP-, HTTP-Floods oder UDP-Floods.
Wahlweise vermieten die Hintermänner die infizierten Geräte bzw., im Fall von infizierten Routern, die dazugehörigen Internet-Anschlüsse auch an andere Kriminelle, die auf diese Weise ihre IP-Adress-Spuren verwischen. Die Stichworte für derartige Dienste lauten „Booter“ oder „Stresser Service“, die Preise beginnen bei 5 US-Dollar pro Monat und Bot.