Infizierte Heimrouter: Satori-Botnetz legt stark zu
Der Mirai-Nachfolger Satori infiziert immer mehr Heimrouter und IoT-Geräte. Die zugrundeliegenden Sicherheitslücken werden von den Herstellern oft ignoriert. In der Zwischenzeit schürfen die Angreifer munter Kryptogeld.
(Bild: Radware)
- Fabian A. Scherschel
Satori, der Nachfolger des riesigen IoT-Botnetzes Mirai, hat in den vergangenen Wochen stark zugelegt. Nachdem der dazugehörige Schadcode im Dezember mehr als 100.000 Huawei- und Realtek-Router in zwölf Stunden gekapert hatte, knöpft er sich jetzt wohl Geräte des Herstellers Dasan vor. Die sind vor allem in Asien und den USA verbreitet. Momentan schätzen Sicherheitsforscher, dass an die 13.000 Geräte dieses Herstellers pro Tag in die Reihen der Botnetz-Zombie-Router überlaufen. Satori missbraucht die Geräte unter anderem dazu, um ohne Zutun des Besitzers Kryptowährungen zu schürfen.
Lücken bleiben offen
Obwohl die Infektionen einen Neustart der Geräte nicht überleben, wächst die Zahl der Satori-infizierten Router stetig. Das liegt wohl daran, dass die meisten Heimrouter nur selten neu gestartet werden und dass es so viele Zombies da draußen gibt, dass die Geräte nach einem Neustart schnell wieder von anderen Bots gefunden und neu infiziert werden. Die Drahtzieher hinter den Angriffen schrauben kontinuierlich an ihrer Schadsoftware und dank einer großen Anzahl an Sicherheitslücken in Internet-of-Things-Geräten können sie immer wieder auf neu entdeckte Schwachstellen zurückgreifen.
Dazu kommt, dass Lücken in den meisten IoT-Geräten nicht geschlossen werden und über Jahre klaffen. So berichtete zum Beispiel der Firewall-Hersteller Fortinet Anfang Februar über IP-Kameras, die von Satori befallen wurden.
(Bild: Radware)
Wie die Forscher der Sicherheitsfirma Radware berichten, die die neue Dasan-basierte Variante von Satori entdeckt haben, ist das Botnetz nach wie vor flexibel, was das Geschäftsmodell des Schadcodes angeht. Sie fanden in den infizierten Routern erst einmal keine Payload, die Angriffe oder verstecktes Mining ausführen soll. Es geht wohl erst mal darum, die Router unter die Kontrolle der Bot-Farmer zu bringen. Der eigentliche Schadcode wird bei solchen Angriffen oft dynamisch nachgeliefert und kann dementsprechend auch schnell geändert werden.
Oft werden solche Botnetze auch an den meistbietenden vermietet, etwa um kraftvolle DDoS-Angriffe auf Webseiten auszuführen. Ob Dasan plant, die Sicherheitslücke in den Geräten zu schließen, ist bisher nicht bekannt. Eine entsprechende Anfrage von heise Security wurde bisher nicht beantwortet. (fab)
