Neuer Schädling verwandelt IoT-Geräte in nutzlose Ziegelsteine

Ein von den Honigtopf-Servern des IT-Sicherheitsunternehmens Radware entdeckter Schädling mit der Bezeichnung BrickerBot richtet sich gegen IoT-Geräte, die Linux/BusyBox verwenden. Die ersten Attacken begannen den Forschern zufolge am 20. März.

Bekannt ist, dass es zwei Versionen des Schädlings gibt (BrickerBot.1 und BrickerBot.2), dass er den Speicher der Geräte infiziert und die Funktion des System-Kernels kompromittiert.

Zu Beginn der Attacke funktionieren beide Versionen gleich: Sie versuchen eine Brute-Force-Attacke auf offene Telnet-Ports durchzuführen. Wie auch Mirai, Hajime und andere Arten von IoT-Schädlingen verwendet BrickerBot eine Liste von voreingestellten Account-Daten. Im Erfolgsfall führt BrickerBot eine Reihe von Linux-Befehlen aus, und im Folgenden unterscheidet sich die Funktionsweise der beiden Schädlingsversionen voneinander; sie führen unterschiedliche Befehle aus, doch im Endeffekt verfolgen sie ein und dasselbe Ziel.

BrickerBot schreibt zufällige Bits in den Speicher des Gerätes, infolgedessen der Flash-Speicher nutzlos wird. Daraufhin werden die TCP-Zeitstempel deaktiviert, d.h. bleibt die Internet-Verbindung bestehen, wird diese sabotiert. Dann stellt der Schädling den maximalen Wert der Kernel-Threads auf 1, wodurch alle im Kernel durchgeführten Operationen gestoppt werden.

Nachdem der Schädling einen Neustart durchgeführt hat, funktioniert das IoT-Gerät nicht mehr und ist vollkommen nutzlos. All das passiert buchstäblich innerhalb weniger Minuten nach der Infektion. Solche Angriffe nennen sich PDoS (Permanent Denial of Service), eine permanente Dienstverweigerung also. Die telemetrischen Daten der Radware-Fallen haben gezeigt, dass innerhalb von vier Tagen 1895 Versuche registriert wurden, PDoS-Attacken durchzuführen.

Zur Verbreitung nutzt jede der BrickerBot-Varianten ihre eigene Infrastruktur: BrickerBot.1 wird über IP-Adressen von Ubiquiti-Netzwerkgeräten auf veralteten Versionen von Dropbear SSH-Servern in Umlauf gebracht. BrickerBot.2, die weiter entwickelte Version von BrickerBot, ist in der Lage, wesentlich mehr Befehle auszuführen. Da die in der Attacke verwendeten IP-Adressen im Netzwerk Tor verborgen sind, lässt sich der Ursprung des Angriffs praktisch kaum zurückverfolgen. Allerdings wurden bisher wesentlich weniger Angriffe unter Verwendung der leistungsstärkeren Version durchgeführt.

Laut Angaben der Forscher wird mit BrickerBot ein neues Kapitel im Bereich IoT-Schädlinge aufgeschlagen. Normalerweise werden IoT-Schadprogramme zum Aufbau umfangreicher Botnetze verwendet, die ihrerseits bei solchen DDoS-Attacken zum Einsatz kommen wie derjenigen, im Zuge derer Provider auf der ganzen Welt in Mitleidenschaft gezogen wurden. Die zerstörerische Natur von BrickerBot ist nichts Ungewöhnliches, unverständlich ist jedoch, auf welche Weise die Funktionalität des Schädlings den Cyberverbrechern nützen könnte, denn die von ihm attackierten Geräte sind danach zu rein gar nichts mehr zu gebrauchen.

Möglicherweise sind hier Hacktivisten am Werk, die die allgemeine Aufmerksamkeit darauf lenken wollen, wie schlecht IoT-Geräte zumeist geschützt sind. Trotzdem schädigt die Arbeit dieses „Gerechtigkeitskämpfers“ die betroffenen Geräte. Es sind allerdings auch Geschichten bekannt, bei denen das Gegenteil der Fall ist. Im Oktober des Jahres 2015 berichteten Forscher über einen umgekehrt gelagerten Fall von Hacktivismus: Der IoT-Schädling Linux.Wifatch suchte nach ungeschützten Routern und verbesserte die Fehler in der Konfiguration daraufhin selbst. Später wurde der Quellcode dieses „Schädlings“ auf GibHub hinterlegt.

Welches Ziel die BrickerBot-Autoren verfolgen, bleibt unklar, doch sie spielen mit dem Feuer: Wie einige Experten betonten, könnte es de jure als ein Akt der Aggression gelten, wenn Videoüberwachungskameras an Botschaftsgebäuden auf diese Weise außer Gefecht gesetzt würden.

Die Forscher riefen die Urheber von BrickerBot dazu auf, ihre Energie in kreative Bahnen zu lenken und unterstrichen, dass die Botschaft angekommen sei. Vertreter von Radware sind bereit, mit den unbekannten Hackern zusammenzuarbeiten, um gemeinsam dafür zu sorgen, dass IoT-Geräte künftig besser geschützt sind.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.