Router-Malware: Aktuelle Kampagne des Mirai-Botnet greift viele Lücken an
Das Mirari-Botnet ist weiter aktiv. Die Drahtzieher nutzen in einer aktuellen Kampagne zahlreiche Sicherheitslücken, um diverse Internetrouter zu infizieren.
(Bild: solarseven/Shutterstock.com)
Die IT-Forscher von Palo Altos Unit42 beobachten eine Malware-Kampagne von Cyberkriminellen, die Internet-of-Things-Sicherheitslücken missbrauchen, um Varianten des Mirai-Botnet zu verteilen. Insgesamt 22 Schwachstellen listet Unit42 auf, die den Angreifern vollen Zugriff auf verwundbare Geräte gestattet, die diese dann ihrem Botnet hinzufügen. Damit starten sie weitere Angriffe, etwa Distributed Denial of Service (DDoS).
Palo Altos IT-Sicherheitsforscher haben im März einen Shell-Downloader aufgespürt, der diverse Bot-Clients herunterlud und ausführte, die unterschiedliche Prozessorarchitekturen unterstützen. In ihrer Analyse beschreiben die Forscher von Unit42, dass es Clients für diverse ARM-Dialekte, MIPS, SH4, x86, x86_64, ARC, m68k sowie Sparc gibt. Eine zweite Kampagne startete im April und lud denselben Shellcode-Downloader nach. Die Botnet-Clients waren zudem fast identisch, sodass die Analysten von den gleichen Drahtziehern hinter der Kampagne ausgehen.
Mirai-Kampagne: Ständig neue Exploits nachgepflegt
Neue Exploits seien den IT-Forensikern zufolge kontinuierlich ergänzt worden. Damit konnten die bösartigen Akteure immer mehr Router angreifen und diese in Drohnen ihres Botnetz umwandeln.
Die Forscher gehen basierend vom Verhalten und Mustern, die sie bei der Analyse der heruntergeladenen Botnet-Clients beobachtet haben, davon aus, dass es sich um Varianten des Mirai-Botnet handelt. Die Malware werfe bei der Ausführung die Meldung "listening tun0" auf der Konsole aus und stelle sicher, dass lediglich eine Instanz auf dem Gerät laufe. Existiere bereits ein Botnet-Prozess, beende der Client den laufenden Prozess und starte einen neuen.
(Bild: Palo Alto / Unit42)
Anders als andere Mirai-Varianten habe die untersuchte Malware jedoch keine Funktionen enthalten, um Bruteforce-Angriffe auf Telnet- oder SSH-Log-ins auszuführen oder Schwachstellen in den Diensten zu missbrauchen. Die Malware verbreitet sich daher ausschließlich durch Angriffsversuche des Botnet-Operators und nicht selbstständig.
Die Unit42-Analyse listet neben den Schwachstellen und betroffenen Geräten oder verwundbarer Software auch Indizien für Infektionen (Indicators of Compromise, IOCs) auf. Unter anderem sind Geräte von APsystems, Arris, D-Link, Flir, Intelbras, Mediatek, Netgear, Telesquare, Tenda, TP-Link, und Software wie Engenius Enshare, MVPower, Nagios, Nortek Linear eMerge, Solarview, Vacron oder ZeroShell im Visier der Angreifer. Auch allgemein CCTV/DVR-Produkte gehören zu den Zielen.
Betroffene Geräte teils am End-of-Life angekommen
Nutzer von Geräten und Software der genannten Marken sollten überprüfen, ob diese in der Auflistung auftauchen und gegebenenfalls bereitstehende Sicherheits-Updates installieren. Die Schwachstellen betreffen teilweise Geräte, die am End-of-Life angelangt sind und daher keine Aktualisierung mehr erhalten, die die Lücke schließen.
Der Hersteller D-Link hat mit einer Ankündigung reagiert, dass Nutzer von betroffenen Geräten, die bereits ihr End-of-Life respektive End-of-Service erreicht haben, in den USA neue Ersatzgeräte vergünstigt erhalten könnten. Das Unternehmen nennt die Geräte D-Link DIR-820L, DIR-859 WiFi Router und DNS-320 Network Attached Storage. Für den D-Link DWL-2600AP Access Point stünden hingegen Updates zur Verfügung.
Zuletzt fiel das Mirai-Botnet im April vergangenen Jahres auf. Dort haben die Cyberkriminellen eine Spring4Shell genannte Sicherheitslücke zum Infizieren von Geräten missbraucht.
(dmk)
