Ungepatchte Router spielen Host für ein riesiges neues Botnet

Das nächste Botnet, das das Internet zum Absturz bringt, erwacht langsam. Seit Ende Dezember infiziert ein Botnet namens Satori neue Endpunkte und zeigt im Allgemeinen die Anzeichen einer bevorstehenden Katastrophe. Wie sollten Sie sich auf den nächsten groß angelegten DDoS-Angriff vorbereiten?

Ein ruhendes Botnet erwacht wieder

Das letzte Mal haben wir das Satori-Botnet im Jahr 2016 gesehen – damals hieß es noch Mirai. Wir wissen, dass zwei Jahre in der Informationssicherheit eine lange Zeit sind, aber der Vorfall mit dem Mirai-Botnetz ist schwer zu vergessen. Mit Millionen von infizierten IoT-Geräten wie Routern, Sicherheitskameras und intelligenten Thermostaten konnte das Mirai-Botnet das Glasfaser-Backbone für fast die gesamte US-Ostküste zum Absturz bringen. Der Angriff hat das Internet stundenlang lahmgelegt.

Satori ist nicht Mirai, aber ein enger Cousin. Im Gegensatz zu Mirai, das eine separate Komponente herunterladen musste, bevor es aktiv wurde, verbreitet sich Satori wie ein Wurm. Infizierte Hosts scannen offene Ports auf Routern und anderen IoT-Geräten und suchen nach bestimmten Schwachstellen. Bis heute wurden drei Arten von anfälligen Geräten identifiziert:

• Huawei Home Gateway Router können einen ausnutzbaren Fehler bei der Remote-Codeausführung enthalten. Über die Sicherheitsanfälligkeit ist wenig bekannt und derzeit ist kein Patch verfügbar.
• Realtek Router enthalten eine ähnliche Schwachstelle, die jedoch in vielen Systemen gepatcht wurde, was zu einer geringeren Erfolgsrate dieses Exploits führt.
• DASAN-Netzwerke, ein wenig bekannter Router-Hersteller in Südkorea, betreibt etwa 40.000 Router. Alle diese Router scheinen für Satori anfällig zu sein, aber der Hersteller hat nicht auf die Sicherheitsforscher reagiert und scheint nicht bereit zu sein, einen Patch herauszugeben.

Es ist unnötig zu erwähnen, dass jeder, der diese Geräte derzeit verwendet, Schritte unternehmen sollte, um sie bei Bedarf sofort zu isolieren, zu patchen oder zu ersetzen.

Neben der Infizierung von Routern hat sich der Betreiber des Satori-Netzes einen lukrativen Nebenerwerb gefunden. Satori-Malware zielte kürzlich auf Kryptowährungs-Mining-Software ab und infizierte sie. Durch das Ausnutzen von Sicherheitslücken in einem Softwareprogramm namens Claymore war die Malware in der Lage, Wallet-Adressen von Kryptowährungen mit denen des Malware-Betreibers zu überschreiben. Daher wird die gesamte Währung, die von der zugehörigen Maschine abgebaut wird, an den Angreifer umgeleitet. Das Satori-Botnet hat mit dieser Methode bereits die Kryptowährung Ethereum im Wert von mehr als 2.000 USD aufgebracht.

Ein Mehrzweck-Botnet?

Die Verwendung dieses speziellen Botnets zum Mining von Kryptowährungen deutet darauf hin, dass sein Betreiber mehr im Sinn hat als einfache DDoS-Angriffe. Während frühere Botnet-Betreiber ihre Netzwerke gerne zu Erpressungszwecken nutzten, deuten andere Angriffe Ende 2017 und Anfang 2018 darauf hin, dass sich dieses Geschäftsmodell möglicherweise zu ändern beginnt.

Hacker haben eine Reihe von Schemata eingeführt, um verschiedene Kryptowährungen zu stehlen oder parasitär zu minen. Mehrere Gruppen haben damit begonnen, bösartige Adware zu verwenden, um Websites zu infizieren und die CPUs von Besuchern zu kapern, um Bitcoin abzubauen. Eine andere Gruppe konnte die öffentliche Cloud von Tesla Motors infizieren, indem sie eine ungeschützte Kubernetes-Konsole entführte.

Während die individuelle Rechenleistung eines einzelnen Routers unbedeutend ist, könnte ein Netzwerk von Zehntausenden von Bots in der Lage sein, insgesamt viel Kryptowährung zu generieren. Diese Angriffe mögen zwar relativ harmlos sein – schließlich beinhalten sie weder den Diebstahl noch die Verschlüsselung von Daten – das Potenzial für Massenbelästigung ist jedoch unbestreitbar.

So halten Sie Ausschau nach Cryptojacking und DDoS-Angriffen

Wenn Sie vermuten, dass ein Angreifer eines Ihrer IoT-Geräte gekapert hat – oder wenn Sie glauben, dass jemand einen DDoS-Angriff gegen Sie richtet – sollten Sie es sofort wissen. Diese Arten von ausgeklügelten Angriffen nehmen ständig zu und es ist nicht länger in Ordnung, blinde Flecken in Ihrer Netzwerk- und Anwendungsinfrastruktur zu haben. AppNeta kann helfen, indem es ein Fenster in Ihr Netzwerk bereitstellt. Sie können sehen, wo Netzwerk- und Anwendungsverzögerungen auftreten, und schnell Schlussfolgerungen ziehen, was vor sich geht.

DDoS-Angriffe und Cryptojacking werden beide zu spürbaren Netzwerk- und Anwendungsverzögerungen führen, was sich in Bezug auf Produktivität und Kundenreaktionsfähigkeit kaskadierend auswirken wird. Wenn Sie diese Probleme beheben möchten, bevor sie auftreten, wenden Sie sich noch heute an AppNeta, um eine kostenlose Demo zu erhalten.