CZ.NIC registriert Zunahme von Brute-Force-Attacken auf Telnet

CZ.NIC registriert Zunahme von Brute-Force-Attacken auf Telnet

Nach Angaben der tschechischen Domain-Verwaltung cz.nic haben die Versuche, mittels Brute-Force-Attacken an Telnet-Passwörter zu kommen, Ende Mai deutlich zugenommen und die entsprechenden Angriffe auf SSH um ein Dreifaches überstiegen. In den folgenden Monaten ging der schädliche Strom auf die Telnet-Honeypots von CZ.NIC zwar leicht zurück, er ist aber noch immer doppelt so umfangreich wie im Frühjahr. Es konnte festgestellt werden, dass die Hauptaktivität von Heimroutern und Videoüberwachungskameras ausgeht – allem Anschein nach bauen die Cyberkriminellen ein neues Botnetz aus (zur Durchführung von DDoS-Attacken beispielsweise) oder sie erweitern bestehende.

Den Worten der tschechischen Forscher zufolge werden sowohl Telnet als auch SSH für die entfernte Kommunikation mit den Geräten verwendet und beide bieten Konsolenzugriff an, was sie bei potentiellen Cyberverbrechern besonders beliebt macht. Doch in den letzten Jahren hat sich das besser geschützte Protokoll SSH de facto zum Standard für solche Verbindungen entwickelt. Die Initiatoren von Brute-Force-Attacken wissen das sehr wohl und wählen als Ziel eben diesen Dienst aus. Die starke Zunahme der Login-Versuche bei Telnet ist eine ungewöhnliche Erscheinung und die Beobachter von CZ.NIC beschlossen, das genauer zu ergründen.

In erster Linie registrierten sie einen deutlichen Anstieg der IP-Adressen, von denen die Attacken ausgingen. „Zu einem Zeitpunkt war die durchschnittliche Zahl der angreifenden Adressen von etwa 30.000 pro Tag auf 100.000 und mehr angestiegen“, schreibt Bedřich Košata im Blog von CZ.NIC. Nach Ländern betrachtet entfiel der größte Teil des Brute-Force-Traffics auf China, Brasilien, Indien Taiwan und Vietnam. Beobachtet wurde ebenfalls eine verstärkte Aktivität der einzelnen IPs, doch diese Zunahme war nicht so auffällig.

Mit Hilfe von Shodan konnte festgestellt werden, dass von den 6,5 Millionen IP, die an den Brute-Force-Attacken beteiligt waren, mehr als 1,8 Millionen (etwas mehr als 27%) mit integrierten HTTP- und RTSP-Servern verbunden sind. Die stärkste Aktivität ging dabei von den von Heimroutern benutzten Servern RomPager und gSOAP in veralteten und angreifbaren Versionen aus sowie von H264DVR 1.0 und Servern des Herstellers Dahua Technology, die für die Verwendung in Videokameras typisch sind.

Zum gegenwärtigen Zeitpunkt registriert CZ.NIC täglich etwa 20.000 neue IP-Adressen, die schädlichen Traffic generieren. Um den Nutzern eine Möglichkeit zu geben zu überprüfen, ob ihre Gadgets im Rahmen der laufenden Cyberkampagne kompromittiert wurden, haben die Forscher den Online-Service AmIHacked.turris.cz. herausgebracht. Unabhängig von dem Ergebnis dieser Überprüfung rät Košata aber dazu, den Zugriff auf die Smart-Geräte über das Internet mit Hilfe einer Firewall einzuschränken.

Quelle: cz.nic

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.