zurück zum Artikel

Aktuellen Analysen zufolge soll das Reaper-Botnetz mit 10.000 bis 20.000 IoT-Geräten wesentlich kleiner sein als zuvor angenommen. Der zugrunde liegende optimierte Mirai-Quellcode birgt aber viel Potenzial für erfolgreiche (DDoS-)Angriffe.

Sicherheitsforscher haben neue Details zu Größe und Programmcode des IoT-Botnetzes Reaper aka IOTroop [1] veröffentlicht. Demnach soll das vor knapp zwei Wochen entdeckte Botnetz um ein Vielfaches kleiner sein als bislang angenommen. Die Annahme, das sein Quellcode auf dem des Botnetzes Mirai basiere, habe sich hingegen als korrekt erwiesen.

Bislang maximal 20.000 Bots

Mirai soll in seiner Hochzeit bis zu 380.000 internetfähige Geräte für Distributed-Denial-of-Service(DDoS)-Angriffe missbraucht haben, bevor sein Quellcode vor gut einem Jahr in einem Hacker-Forum veröffentlicht wurde [2]. Reaper hingegen wurden bei seiner Entdeckung [3] bis zu zwei Millionen internetfähige Geräte zugerechnet. Neue Erkenntnisse widersprechen diesen Schätzungen: Ein Forscherteam des Software-Herstellers Arbor Networks will bei aktuellen Untersuchungen auf lediglich 10.000 bis 20.000 infizierte IoT-Geräte [4] gestoßen sein. Hinzu kämen zwei Millionen Hosts, die zwar als potenzielle Reaper-Knoten in Frage kämen, bislang jedoch aus unbekannten Gründen nicht Teil des Botnetzes seien. Der Hersteller wies allerdings auch daraufhin, dass sich Reapers Ausbreitung jederzeit ändern könnten.

Sicherheitssoftware-Hersteller Check Point bestätigte indes im Zuge einer vollständigen Code-Analyse [5] zahlreiche Code-Parallelen zwischen Reaper und dem Botnetz Mirai. Allerdings sei der vor gut einem Jahr veröffentlichte Mirai-Code stark überarbeitet und unter anderem mit einem neuen, in PHP geschriebenen Backend versehen worden. Anders als Mirai kapere Reaper Geräte nicht mittels gestohlener Passwörter, sondern teste sie auf bekannte Sicherheitslücken. Des Weiteren hätten die unbekannten Urheber mittels LUA-Skripting [6] schnellere und flexiblere Zugriffsmöglichkeiten auf einzelne Botnetz-Knoten. Ebenfalls neu sei die Auslagerung der DDos-Funktionen in Zusatzmodule, die die Geräte vom Command-and-Control-Server anforderten.

Chinesische Hacker am Werk?

Sowohl Arbor Networks als auch Check Point vermuten die Urheber des Reaper-Codes in China. Erstere gehen davon aus, dass das Botnetz innerhalb des Landes als Basis für DDos-as-a-Service-Angebote dienen soll. Letztere nennen als wichtiges Indiz für die geografische Einordnung die E-Mail-Adresse, die zur Registrierung der Command-and-Control-Infrastruktur diente. Diese sei zuvor auch von der chinesischen APT-Gruppe 'The Black Vine' zur Domain-Registrierung verwendet worden. (ovw [7])

URL dieses Artikels:
https://www.heise.de/-3876165

Links in diesem Artikel:
[1] https://www.heise.de/news/Neues-Botnetz-ueber-IoT-Geraete-3867237.html
[2] https://www.heise.de/news/Source-Code-von-maechtigem-DDoS-Tool-Mirai-veroeffentlicht-3345809.html
[3] http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/
[4] https://www.arbornetworks.com/blog/asert/reaper-madness/
[5] https://research.checkpoint.com/iotroop-botnet-full-investigation/
[6] https://de.wikipedia.org/wiki/Lua
[7] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2017 Heise Medien