Achtung: Neue Tricks machen Botnetze noch schwerer zu packen!

 

 

Ganz unterschiedliche Arten von Geräten können Opfer von Botnetzen werden, solange der Schad-Code mit der angegriffenen Hardware kompatibel ist. Außerdem können Angreifer mehrere Methoden in ihre Angriffe einbauen, um unsichere Systeme auf der ganzen Welt anzugreifen. Ihre Wandelbarkeit macht es schwer, die Entwicklung von Botnetzen vorherzusagen, doch eins ist sicher: Gute Absichten stecken nie dahinter.

Ein Botnetz, das seit mindestens 2014 bestand und allem Anschein nach sein Treiben eingestellt hatte, ist letztes Jahr wieder aufgetaucht, und zwar mit ein paar neuen Tricks im ärmel, die es noch unauffälliger machen: Anstatt offensichtliche DoS-Angriffe zu starten, nutzte das Botnetz infizierte Geräte als Vermittlerknoten für kriminelle Datenströme.

Das IoT-Botnetz mit dem Codenamen TheMoon entstand durch Infektion von Breitband-Routern von Anbietern wie Linksys, Asus, MikroTik und D-Link. Die Einfallstore waren laut Kommunikationsanbieter CenturyLink (englisch) öffentlich bekannte Schwachstellen.

Laut Sicherheitsexperten deutet einiges darauf hin, dass die Botnetzbetreiber anderen Kriminellen die Leistung der infizierten Geräte mietweise anboten. Die Käufer nutzten sie dann für „Brute-Force-Angriffe zur Erlangung von Zugangsdaten, Video-Werbungs-Betrug, Datenverkehrsobfuskierung usw.“. TheMoon kann offenbar „jeden beliebigen Schad-Code ausführen“ und so seine Möglichkeiten mit der Zeit immer weiter ausbauen.

Versuche, das Risiko für Benutzer zu minimieren, lösen oft energische Gegenmaßnahmen zur Aufrechterhaltung des Botnetzes aus. CenturyLink schaffte es, TheMoon in seinem Netzwerk auszuschalten, wodurch die Ausdehnung eingedämmt wurde. Doch es wird erwartet, dass die Betreiber des Botnetzes bald neue Wege finden, bestehende Schwachstellen auszunutzen.

Ein Beispiel für den Kampf gegen die Nichtexistenz ist Hide and Seek (englisch), ein Botnetz, das am 10. Januar 2018 von Bitdefender entdeckt wurde und seitdem verfolgt wird. Den Zweck des Botnetzes konnten die Experten noch nicht ausmachen, obwohl mehr als 90.000 einzelne Geräte infiziert sind.

Hide and Seek hat keine Command-and-Control-Instanz. Stattdessen werden die Anfragen von Gerät zu Gerät propagiert, was es noch schwieriger macht, dem Botnetz das Handwerk zu legen. Erschwerend kommt hinzu, dass es persistent ist (englisch), sich also auch durch einen Neustart des Geräts nicht löschen lässt, was bei den meisten anderen IoT-Botnetzen möglich ist.

Trotz seiner raffinierten Struktur schwankt die Zahl der durch Hide and Seek infizierten Geräte stark (englisch): An einem Punkt seiner Geschichte schrumpfte das Botnetz um 80 %, schon in der folgenden Woche wurden jedoch Anzeichen registriert, dass die Infektion wieder ausgebreitet wird.

Experten konnten keinen Grund für den plötzlichen Schwund ausmachen. Zur Sicherheit sollten Anwender jedoch stets darauf achten, die neueste Version der Firmware installiert zu haben. Wer sich über potenzielle Schwachstellen in IoT-Geräten des eigenen Netzwerks informieren und wirksam gegen Infektionen schützen möchte, sollte eine professionelle Sicherheitslösung installieren.

Bildquelle: qimono

rn