Level 3: Mirai-Population nach Durchsickern des Codes verdoppelt

Nach der Veröffentlichung des Quellcodes schließen Mirai-Bots in Rekordgeschwindigkeit immer mehr verwundbare IoT-Geräte an ihr Zombie-Netzwerk an.

Den Forschern von Level 3 Communications ist es gelungen, die Befehlsinfrastruktur von Mirai zu identifizieren, die verwendet wird, um angreifbare IoT-Geräte zu hacken und mit den neu erschienenen Bots zu verbinden. Nach Einschätzung des Kommunikationsdienstleisters hat sich die Zahl der von Mirai kompromittierten Videoüberwachungskameras, der digitalen Videorekorder und der Heimnetzwerkgeräte innerhalb von zwei Wochen mehr als verdoppelt – von 213.000 auf 493.000. „Tatsächlich kann die Zahl dieser Bots aber noch viel höher sein, da die aufgedeckte Infrastruktur kein vollständiges Bild zeichnet“, warnen die Experten.

Die meisten der kompromittierten Gadgets befinden sich in den USA, allerdings belegen auch Brasilien und Kolumbien hohe Positionen im Infektionsranking. Noch beunruhigender ist allerdings die Zahl der Gauner, die sich die Möglichkeiten zunutze machen wollen, die die Armee der an ans Internet angeschlossenen Geräte ihnen bietet. So werden laut Angaben von Level 3 bereits 24% der Hosts des Botnetzes Mirai auch in Attacken von Gafgyt, alias BASHLITE, verwendet. „Eine so starke Überschneidung zeugt davon, dass zahlreiche Malware-Familien ein und denselben Pool von IoT-Geräten angreifen“, resümieren die Forscher.

Verantwortlich für die enorme Zunahme der Mirai-Infektionen ist nach Ansicht der Experten die Veröffentlichung des Quellcodes, obgleich es so auch den Experten möglich war, das Verhalten des schädlichen Bots zu studieren. Die Analyseergebnisse bestätigen, dass die wichtigste Bestimmung von Mirai das fortwährende Scannen des Internets auf der Suche nach angeschlossenen Geräten und die Durchführung von Brute-Force-Attacken ist, um sich auf die Geräte Zugriff zu verschaffen, die mit schwachen oder voreingestellten Passwörtern geschützt sind. Daraufhin wir das verwundbare Gerät an ein riesiges Botnet angeschlossen, das zur Durchführung von DDoS-Attacken benutzt wird.

„Obgleich das [das Durchsickern des Quellcodes] die Arbeit der IT-Sicherheitsexperten tatsächlich erleichtert hat, da nun erforscht werden kann, wie das Botnet funktioniert, spielt es auch kriminellen Elementen in die Hände“, bestätigte der leitende IT-Sicherheitsforscher von Level 3, Dale Drew. „Ihnen steht nun der Basiscode eines polyfunktionalen Bots zur Verfügung, der problemlos modifiziert und schnell in Umlauf gebracht werden kann, wovon wir uns bereits überzeugt haben.“

Die Forscher haben eine Reihe von schädlichen Ressourcen in der Top Level Domain .cx (Weihnachtsinsel) identifiziert, die mit Mirai in Verbindung gebracht wird. Ihre Domainnamen haben das Präfix network oder report, in Abhängigkeit von der Rolle, die sie in dem jeweiligen Knoten innerhalb des Botnets spielen. Die Liste der schädlichen Domains, die im Rahmen der Untersuchung gefunden wurden, ist in einem Blogpost von Level 3 öffentlich verfügbar.

„Wir sind dabei, die Opfer dieses Botnetzes zu informieren und ihnen Hilfe zu leisten“, erklärte Drew auf die Frage von Threatpost nach dem aktuellen Status der schädlichen Ressourcen. „Wir versenden zudem eine Anfrage auf Abschaltung der Server, die Teil der C&C-Infrastruktur sind, und wir werden sie nach IP filtern, wenn sie keine Maßnahmen ergreifen.“

Vertreter von Level 3 registrierten zudem eine hohe Rotation der aktiven Steuerungszentren des Botnetzes, die sich circa alle zwei Tage verändern. „Sie springen ständig zwischen den C&C her, um zu verhindern, dass diejenigen, die ihre Aktivität verfolgen, die Kommunikation der Bots und Steuerungsserver schnell miteinander in Verbindung bringen können“, erklärt der Gesprächspartner von Threatpost.

Um den 18. September herum konnte Level 3 zudem recht heftige DDoS-Attacken auf die C&C-Infrastruktur von Mirai beobachten, die von den Gafgyt/BASHLITE-Betreibern initiiert wurde. „Wir wissen nicht, ob es sich dabei um den Versuch gehandelt hat, einen Konkurrenten auszuschalten, indem die Mirai-Operation sabotiert wurde, oder um den Versuch, die von Mirai kompromittierten Knoten zu kapern“, kommentierte Drew diese Aktion.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.