FBI schaltet riesiges Botnet aus Heim-Routern, Webcams und NAS-Geräten ab
Rund 1,2 Millionen IoT-Geräte waren weltweit Teil eines Botnetzes, ein Zehntel davon in Deutschland. Das FBI hat es nun abgeschaltet.
- Uli Ries
Laut dem US-amerikanischen Justizministerium haben US-Strafverfolger das Raptor Train getaufte IoT-Botnet auf Basis einer richterlichen Anordnung abgeschaltet. Michael Horka, Senior Lead Information Security Engineer bei Black Lotus Labs, erklärte gegenüber heise security, dass man sämtlichen IP-Verkehr zu den Command- und Control-Servern (C2), Payload-Servern und dem Rest der Botnet-Infrastruktur per Null Routing ins Leere laufen lasse. Das FBI übernahm nach eigener Auskunft Teile der Infrastruktur und wies die Bots so an, sich abzuschalten.
Black Lotus Labs gehört zum IT-Sicherheitsanbieter Lumen Technologies und machte die Strafverfolger Mitte 2023 erstmals auf Raptor Train aufmerksam. Lumen Technologies hat den Aufbau des Botnets im Detail in einem Dokument beschrieben.
Raptor Train: chinesisch kontrolliertes Botnet
Betrieben wurde das Botnet laut FBI von einem chinesischen Unternehmen namens Integrity Technology Group (Integrity Tech), dem die Behörden Verbindungen zur chinesischen Regierung nachsagen. Unternehmen wie Microsoft oder Crowdstrike bezeichnen die staatliche Hackertruppe als Flax Typhoon.
Im Juni hatte Integrity Tech laut FBI gut 260.000 Router, Web-Cams und NAS-Geräte auf der ganzen Welt unter Kontrolle, davon knapp 19.000 in Deutschland. Zu den betroffenen Herstellern gehören Asus, DrayTek, Hikvison, Microtik, Mobotix, Qnap, Synology, TP-Link, Ruckus Wireless und Zyxel. Laut Michael Horka, der die Details zu Raptor Train im Rahmen der Sicherheitskonferenz Labscon 2024 präsentierte, sind zur Infektion der Geräte wahrscheinlich keine Zero-Day-Exploits zum Einsatz gekommen. Die zum Verwalten des Botnets verwendete Infrastruktur sei hierfür aber ausgelegt. Die Strafverfolger listen in einem Dokument sämtliche der von Raptor Train ausgenutzten Schwachstellen auf. Etliche der betroffenen Geräte werden von den Herstellern nach wie vor mit Sicherheitsupdates versorgt.
Dreistufiges Botnetz
Das Botnet wies drei Schichten auf: Mit Tier 1 bezeichnen die Forscher die infizierten Geräte. Tier 2 waren die C2-Server. Tier 3 diente dem Management der infizierten Gerätschaften. In Bezug auf Tier 1 sagte Mike Horka: "Die von Raptor Train verwendete Malware existiert ausschließlich im Speicher der Geräte. Sie überlebt daher keine Reboots, was die ständig schwankende Zahl der Bots erklärt." Gut 17 Tage waren infizierte Geräte im Schnitt Teil des Botnets. Insgesamt sind laut FBI im Laufe der gut vierjährigen Lebenszeit des Botnets gut 1,2 Millionen Geräte infiziert worden. So viele IDs fanden sich in der MySQL-Datenbank, die für jedes neu infizierte Gerät zum Infektionszeitpunkt eine einzigartige ID gespeichert hat.
Die von Black Lotus Labs Nosedive getaufte Malware basiere auf dem Code des bekannten IoT-Schädlings Mirai und läuft auf diversen Hardwareplattformen wie ARM, MIPS, PowerPC oder x86. Heruntergeladen wird die Malware von einem 15-zeiligen Bash-Script, das die betreffende Hardwareplattform erkennt und dann per wget
das eigentliche Implantat herunterlädt. "Auf dem infizierten Gerät versteckte sich der Schädling, in dem er sich einen gängigen Prozessnamen zuwies, der zufällig aus einer Liste mit elf Einträgen gewählt wurde", sagte Mike Horka.
Ziel der Ăśbung: Verschleiern von Angriffen
Laut Black Lotus Labs dienten die Bots für Angriffe auf US-amerikanische und taiwanesische Organisationen in den Sektoren Militär, Verwaltung, Bildung, Verteidigung, Telekommunikation und IT. Da die IT-Sicherheitsforscher keinen Zugriff auf die C2-Schicht hatten, ist es laut Mike Horka schwierig, die exakten Aktivitäten des Botnets nachzuvollziehen. So wurden beispielsweise keine DDoS-Attacken beobachtet, obwohl sich in der Tier3-Software zahlreiche Funktionen hierfür fanden.
In der Liste der von Raptor Train beherrschten Exploits finden sich etliche für professionelle Hard- und Software wie Cisco ASA und Firepower, F5 BIG-IP, IBM Tivoli und WebSphere oder Ivanti-Appliances. Das legt den Verdacht nahe, dass die Botnetz-Betreiber die infizierten IoT-Geräte für Angriffe auf diese Hard- und Softwarekomponenten missbrauchten und sich dabei hinter der IP-Adresse der Opfer versteckten.
Wie sich Unternehmen mit IoT-Geräten vor derartigen Angriffen schützen, erklären IT-Sicherheitsexperten im heise-security-Webinar "Security & IoT im Unternehmenseinsatz – wie kann das gehen?". Sicherheitsverantwortliche und Admins erfahren dort, wie sie Gefahren von IoT erkennen, evaluieren und minimieren können. Bis zum 01.10.2024 gibt es dafür einen Frühbucherrabatt.
(dmk)