BASHLITE infiziert eine Million IoT-Geräte

Nach Experteneinschätzungen haben Botnetz-Betreiber mehr als eine Million Videokameras von Heimanwendern und Digital Video Recorder (DVR), die mit dem Internet verbunden sind, kompromittiert und für die Durchführung von DDoS-Attacken ausgenutzt. Den Angaben von Level 3 Communications zufolge wurden diese Geräte mit einem Schädling infiziert, der unter den Namen Lizkebab, BASHLITE, Torlus oder Gafgyt bekannt ist, und dann zur Durchführung von Attacken in einem Netzwerk von Botnets vereint.

„Die Untersuchungsergebnisse haben uns in Erstaunen versetzt“, räumt der leitende IT-Forscher bei Level 3, Dale Drew, ein. „Wir haben recht bekannte, durchschnittliche Botnetze ausgewählt, um sie zu untersuchen, wie es sich gehört. Doch wie sich herausstellte, erwarteten uns große Überraschungen. So stellte sich beispielsweise heraus, dass die Schadsoftware BASHLITE mit Botnetzen in Verbindung steht, die weitaus besser organisiert und strukturiert sind, als wir ursprünglich angenommen haben.“

Nach Angaben von Level 3 verfügt BASHLITE über eine variable Zahl von Befehlsservern und Botnetzen, deren Größe sich wöchentlich ändert. So kommunizierten die mit dieser kleinen Schadfamilie assoziierten C&C im Juli nur mit 74 Bots, doch schon bald stieg ihre Zahl auf 120.000 an. Wie Drew anmerkte, förderte eine detailliertere Analyse von BASHLITE ein großes Botnetz zutage, das mit Hilfe von nahezu hunderten C&C-Servern gesteuert wird. Einige von ihnen haben über 100 DDoS innerhalb von 24 Stunden registriert, wobei die Dauer von 75% der Attacken 5 Minuten nicht überschritt.

„Uns wurde klar, dass alle auf dem Holzweg sind, die denken, dass einige auf den ersten Blick kleinen Botnetze nicht groß und nicht leistungsstark genug sind, um spürbaren Schaden anzurichten“, sagt Drew. „Bei oberflächlicher Betrachtung kann man in diesen Botnets nur einzelne Teile des Gesamtbildes sehen, da jedes Botnetz stark fragmentiert ist.“

In seinem Bericht wiesen die Forscher von Level 3 darauf hin, dass eine Hackergruppe nach Art von Lizard Squad und Poodle Corp für die Verbreitung von BASHLITE verantwortlich ist. Diese Gruppen greifen immer häufiger IoT-Geräte an, mit denen sie dann Botnetze aufbauen, DDoS-Attacken durchführen und Dienstleistungen zur Organisation solcher Angriffe (DDoS-as-a-Service) verkaufen. „Nachdem sie Zugriff auf ein Gerät erhalten haben, halten sich die Tools der Angreifer nicht damit auf, die Architektur des Geräts zu bestimmen“, heißt es in dem Bericht. „Sie machen sich vielmehr umgehend daran, die Befehle busybox wget und wget auszuführen, um die Payload des DDoS-Bots herauszuziehen. Daraufhin versuchen die Angreifer, zahlreiche Versionen des Schädlings zu starten, die auf verschiedene Architekturen ausgerichtet sind. Das tun sie so lange, bis eine von ihnen ausgeführt wird.“

Nach Einschätzung von Level 3, gehören 96 Prozent der gefundenen infizierten Geräte zur Klasse IoT (zu 95% handelt es sich um Videokameras und DVR), etwa 4% sind Heimrouter und weniger als ein Prozent kompromittierte Linux-Sever. „Das ist eine vielsagende und radikale Verschiebung in der Zusammensetzung von Botnetzen gegenüber den DDoS-Netzen, die auf Servern und Routern basieren, wie wir sie früher beobachten konnten“, stellen die Forscher fest.

Die meisten Bots, die an den Attacken beteiligt sind, befinden sich in Taiwan, Brasilien und Kolumbien. Das Hauptziel der Angreifer sind nach Angaben von Level 3 Digital Video Recorder, die in Videoüberwachungssystemen verwendet werden, da sie als äußerst angreifbar gelten. In vielen sind per Werkseinstellung Telnet und Webinterfaces aktiviert, zudem verwenden sie standardmäßige Accountdaten. „Die meisten dieser Geräte laufen mit der einen oder anderen integrierten Linux-Art“, fügen die Autoren des Artikels hinzu. „Sie verfügen zudem über eine große Kanalkapazität, die für die Übertragung von Videos unerlässlich ist, und als DDoS-Bots ergeben sie eine äußerst leistungsstarke Klasse.“

Die Experten von Flashpoint, die Level 3 bei der Untersuchung der BASHLITE-Aktivität unterstützten, wiesen darauf hin, dass die Untersuchung der 200 Steuerungszentren, die mit dieser Schädlingsfamilie in Verbindung gebracht werden, im Laufe der letzten paar Monate durchgeführt wurden. Im Gegensatz zu komplexeren Schädlingen verwendet BASHLITE eine hart codierte IP-Adresse des C&C und operiert meist mit nur einer einzigen IP, was den IT-Sicherheitsforschern die Arbeit erleichtert. „Die Botmaster scheint das offensichtlich nicht zu stören, da es sehr einfach ist, ein neues C&C aus der Taufe zu heben und die Bots erneut zu kompromittieren“, schreiben die Experten.

In den meisten Fällen werden die von Level 3 beobachteten DDoS-Attacken von den BASHLITE-Botnetzen als einfacher UDP- oder TCP flood durchgeführt, allerdings sind die Angriffe auf TCP-Ebene in den letzten Monaten seltener geworden. „Obgleich dieser Schädling das Spoofing von Quelladressen unterstützt, sehen wir selten, dass das auch genutzt wird“, heißt es in dem Bericht. „Einige Varianten unterstützen auch HTTP-Attacken mit vollständiger Verbindung zu den Webservern der Opfer.“

Bemerkenswert ist, dass die meisten infizierten Geräte nur von einigen wenigen Anbietern stammen. Offenbar setzen diese Hersteller die Cybersicherheitsstandards in ihren IoT-Produkten nur sehr nachlässig um oder sie ignorieren sie vollständig. In dem Bericht nennt Level 3 einen dieser Anbieter namentlich, und zwar Dahua Technology. Das Unternehmen wurde über das Problem in Kenntnis gesetzt und entwickelt derzeit ein Patch.

Botnetz-basierte DDoS-Attacken auf Videoüberwachungskameras wurden auch schon früher beobachtet. So berichtete etwa Sucuri zu Beginn des Sommers über die Entdeckung eines kleinen aktiven Botnetzes, das aus 25.000 CCTV-Geräten besteht, und etwas später veröffentlichte Arbor Networks neue Daten über das Botnetz LizardStresser, zu dessen Umfang zu dem Zeitpunkt um die 1.300 Webkameras gehörten, die zusammen genommen in der Lage sind, Attacken mit einer Leistungsstärke von bis zu 400 GBit/Sek. durchzuführen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.