Visuelle Darstellung eines Botnetzes wie Moobot
Visuelle Darstellung eines Botnetzes wie Moobot
Bildquelle: BeeBright, Lizenz

Moobot Botnetz hat es auf D-Link Router abgesehen

Das Mirai-Botnetz unter dem Namen Moobot nimmt neuerdings D-Link-Router ins Visier, um seine DDoS-Armee zu erweitern. Updates sind verfügbar.

Das im Dezember 2021 von Analysten von Fortinet entdeckte Botnetz Moobot, eine Variante des Mirai-Botnetzes, hat eine neue Angriffswelle gestartet. Statt wie damals Hikvision-Kameras ins Visier zu nehmen, um seine DDoS-Armee aufzubauen, zielen die Angreifer nun auf anfällige D-Link-Router ab.

Forscher von Unit 42 von Palo Alto Network haben evaluiert, welche kritischen Schwachstellen Moobot dieses Mal angreift. Es nutzt offenbar eine Mischung aus alten und neuen Exploits. Diese haben es im Kern auf vier Sicherheitslücken in D-Link-Routern abgesehen:

CVE-2015-2051: D-Link HNAP SOAPAction Header Command Execution Vulnerability
CVE-2018-6530: D-Link SOAP Interface Remote Code Execution Vulnerability
CVE-2022-26258: D-Link Remote Command Execution Vulnerability
CVE-2022-28958: D-Link Remote Command Execution Vulnerability

Unit 42

D-Link hat bereits Sicherheitsupdates veröffentlicht, die jedoch noch lange nicht an alle Anwender verteilt sind. Besitzer eines D-Link-Routers sind daher dazu angehalten, diesen möglichst zeitnah zu aktualisieren. Denn laut Unit 42 haben die von Moobot genutzten Schwachstellen „eine geringe Angriffskomplexität, aber kritische Sicherheitsauswirkungen, die zur Remotecodeausführung führen können.“ Insbesondere die letzten beiden Lücken wurden erst im März und Mai dieses Jahres bekannt. Sie sind infolgedessen bei vielen Anwendern noch nicht geschlossen.

Botnetze lassen sich für DDoS-Angriffe mieten

Die Angreifer nutzen die gekaperten Router ebenso wie einst die Hikvision-Kameras zu einem späteren Zeitpunkt, um darüber DDoS-Angriffe auf verschiedene Ziele zu befeuern. Oftmals werden Botnetze wie Moobot auch an andere Cyberkriminelle vermietet.

Wer immer einen Online-Dienst in die Knie zwingen und Ausfallzeiten provozieren möchte, kann dies durch einen solchen Service tun. Ist das Botnetz groß genug, entstehen dabei auch neue Rekordangriffe, wie Googles Cloud erst kürzlich einen abgewehrt hatte.

Die für den Aufbau des Moobot-Botnetzes zuständige Schadsoftware hinterlässt jedoch Spuren. Wer einen D-Link-Router sein Eigen nennt, der unerklärliche Konfigurationsänderungen vornimmt, sich ungewöhnlich stark erhitzt oder eine verringerte Internetgeschwindigkeit liefert, der sollte einmal etwas genauer hinsehen und gegebenenfalls Maßnahmen einleiten.

Das Zurücksetzen sämtlicher Einstellungen, die Installation neuester Sicherheitsupdates sowie die Deaktivierung des Fernzugriffs auf die Administrationsoberfläche des Routers können Abhilfe schaffen. Dass Passwörter grundsätzlich geändert werden sollten, versteht sich von selbst.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.