Hacker mit Maske, der gerade Deinen Router übernommen hat (Symbolbild)
Hacker mit Maske, der gerade Deinen Router übernommen hat (Symbolbild)
Bildquelle: jukai5, Lizenz

Angriff auf Router & Co. – Mirai-Botnetz übernimmt Smart Devices

Der nächste DDoS-Angriff dieses Mirai-Botnetzes könnte auch von Deinem Router, Deiner IP-Kamera oder anderen Smart-Devices ausgehen.

Angreifer infizieren zahlreiche Linux-Geräte wie Router und Smart Devices, um diese für ihren nächsten DDoS-Angriff zu missbrauchen. Durch Ausnutzung von insgesamt 13 Schwachstellen sowie Brute-Force-Attacken übernehmen sie mitunter Deine Fritzbox, Deine IP-Kamera und viele andere IoT-Geräte.

Neue Mirai-Malware startet Angriff auf Router und IoT-Geräte

Cyberkriminelle nutzen eine neue Malware-Variante mit der Bezeichnung “V3G4” für Angriffe auf Linux-basierte Geräte wie Router und Smart Devices. Nach deren Übernahme dienen die infiltrierten Netzwerkteilnehmer der Ausführung von DDoS-Attacken (Distributed Denial of Service) auf verschiedene Ziele.

Wie BleepingComputer berichtet, nutzt die Schadsoftware insgesamt 13 verschiedene Schwachstellen aus, um aus der Ferne bösartigen Code auf den Linux-Geräten auszuführen.

Unit 42

Einen ersten Zugang verschafft sich die Malware, indem sie per Brute-Force-Angriff unsichere Anmeldeinformationen für Telnet oder SSH ermittelt. Auch Standard-Passwörter sind für V3G4 ein gefundenes Fressen.

Drei Angriffs-Kampagnen mit zahlreichen Gemeinsamkeiten

Entdecker dieser bösartigen Software, die durch gezielten Angriff mitunter Router wie die Fritzbox in ein Botnetz aufnimmt, waren Sicherheitsforscher der Unit 42 von Palo Alto Networks. Zwischen Juli und Dezember 2022 identifizierten sie insgesamt drei Kampagnen, durch die die Angreifer beständig ihre Mirai-Malware verbreiteten.

Die Forscher entdeckten einige Gemeinsamkeiten in den im Quellcode von V3G4 hinterlegten C2-Domänen (Command-and-Control-Server), den XOR-Entschlüsselungsschlüsseln, den Shell-Skript-Downloadern und der Funktionsweise der Botnetz-Clients. Folglich nahmen sie an, dass alle drei Kampagnen vom gleichen Angreifer stammen mussten.

Malware schaltet Konkurrenz aus und schützt sich selbst

War der Angriff der Malware auf einem Router oder einem anderen Linux-Gerät erfolgreich, so beendet die Software zunächst einige Prozesse aus einer fest codierten Liste, die ebenfalls in allen drei Kampagnen identisch war. Damit deaktiviert sie mitunter die Client-Software konkurrierender Botnetze.

Anschließend erteilt der verbundene C2-Server Befehle für DDoS-Angriffe an die infizierten IoT-Geräte. Darunter gängige TCP-, UDP-, SYN- und HTTP-Flooding-Methoden.

Seinen eigenen Code schützt V3G4 durch den Einsatz von vier verschiedenen XOR-Schlüsseln. Dadurch erschwert die Schadsoftware das Reverse Engineering ihres Quellcodes im Vergleich zu anderen Mirai-Varianten deutlich.

Ferner ist davon auszugehen, dass die Drahtzieher hinter V3G4 ihre DDoS-Dienste womöglich an Kunden verkaufen. Eine Verbindung zu einem bekannten Angebot lässt sich jedoch bisher nicht herstellen.

Wer seinen Router, seine IP-Kamera oder andere Smart Devices vor einem derartigen Angriff schützen will, sollte Standardpasswörter grundsätzlich ändern und seine Geräte stets mit den neusten Sicherheitsupdates versorgen.

Tarnkappe.info

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.