Bots

Bitcoin Loophole und ein neues Botnetz

Stellt IoT Botnet Malware Mirai Bitcoin Mining Slaves ein?
GOLA YASHU | 25. MAI 2017 | 12:11 UHR
Es scheint, dass Mirai, die berüchtigte Malware, die für das Botnetz verantwortlich ist, das vor einigen Monaten eine Reihe großer Websites getroffen hat, mit Nachdruck zurückkehrt – und zwar mit der Fähigkeit, Bitcoin zu gewinnen. Mirai erregte erstmals im September 2016 größere Aufmerksamkeit, als es auf bahnbrechende Weise Distributed Denial of Service Attacken (DDoS) durchführte – mit Internet of Things (IoT)-Geräten, die es zu Bots machte.

Wie funktioniert Mirai?
Mirais erster dokumentierter Angriff war auf die Website des prominenten Sicherheitsjournalisten Brian Krebs, Bitcoin Loophole der den Traffic von Zombie-Geräten im Internet der Dinge nutzte – und einen Rekord von 620 Gbps erreichte, wie Krebs On Security berichtete. Es fuhr fort, einen Großteil des Internets für Millionen von Nutzern unzugänglich zu machen, indem es Dyn überwältigte, ein Unternehmen, das als Rückgrat für eine Vielzahl von Websites wie Netflix, Twitter und LinkedIn dient. Insgesamt betrafen die Angriffe prominente Websites wie Amazon, Twitter, Netflix und PayPal, wie von Wired sowie großen Zeitungen und Fernsehsendern berichtet.

Zeitungen berichten über Bitcoin Loophole

Mirai sucht im Internet nach anfälligen IoT-Geräten, die werkseitig voreingestellte Benutzernamen und Passwörter verwenden. Mit einer Liste von etwa 60 solcher Benutzernamen und Passwörter meldet es sich bei den Geräten an und infiziert sie mit Malware, die sie zwingt, sich an einen zentralen Steuerungsserver zu melden, und „rekrutiert“ sie so in eine Armee von bösartigen Bots, die ferngesteuert werden können. Dann kann Bitcoin Loophole diese IoT „Armee“ verwendet werden, um DDoS-Angriffe zu starten, die auf Anweisungen eines entfernten C&C (Command and Control) basieren, bei dem die Server des Ziels absichtlich mit bösartigem Junk-Traffic überflutet werden, sie überfordern und den Dienst unterbrechen. Infizierte Geräte funktionieren weiterhin normal und werden in vielen Fällen durch einen einfachen Neustart von der Malware befreit (je nach Gerät kann dies einfach bedeuten, dass das Gerät nach kurzer Wartezeit aus- und wieder eingeschaltet wird), aber wenn nicht auch Bitcoin Loophole die Anmeldeinformationen sofort geändert werden, können sie innerhalb von Minuten wieder infiziert werden.

Wahrscheinlich in dem Bestreben, die Spuren des ursprünglichen Hackers zu verwischen, wurde Mirais Quellcode nur wenige Tage nach seinem ersten Angriff in der englischsprachigen Hacker-Community Hackforums öffentlich veröffentlicht. Ein Benutzer mit dem Bildschirmnamen Anna-senpai teilte den Code – ebenso wie die Tatsache, dass die Malware nach der TV-Anime-Serie Mirai Nikki 2011 benannt wurde. Laut einer Analyse von Incapsula wurden IP-Adressen von Mirai-infizierten Geräten in 164 verschiedene Länder zurückverfolgt, darunter entlegene Orte wie Tadschikistan und Somalia. Seitdem wurden Bedenken hinsichtlich der potenziellen Schwachstellen eines breiten Spektrums von IoT-Geräten, einschließlich Sony IPELA Engine IP-Kameras, geäußert.

Mirai rekrutiert Mining-Sklaven?
Neue Untersuchungen deuten darauf hin, dass es eine neue Mirai-Version gibt, die über erweiterte Funktionen verfügt – einschließlich des Potenzials, Bitcoins zu gewinnen. Die neue Variante der ELF Linux/Mirai-Malware verfügt zudem über neue erweiterte Angriffsmöglichkeiten: Sie kann Brute-Force-Angriffe ausführen, ebenso wie die SQL-Injektion – ein gängiger Angriffsvektor. Eine SQL-Injektion verwendet bösartige SQL-Anweisungen, um auf Informationen zuzugreifen und diese zu bearbeiten, die nicht für die Anzeige bestimmt sind, einschließlich sensibler Unternehmensdaten, Benutzerlisten oder privater Kundendaten.

Der neue Mirai-Code ist auch in der Lage, seinen infizierten Hosts ein Bitcoin-Mining-Modul zu liefern, das sie in Mining-Slaves für den C&C-Server verwandelt. Da es zweifelhaft ist, ob IoT-Geräte – die in der Regel eine geringe Kapazität haben – in der Lage wären, signifikante Mengen einzeln zu gewinnen, scheint es, dass die neue Variante versuchen wird, Geräte zu bündeln, um sinnvolle Mengen an Bitcoin produzieren zu können.

Der beste Weg, geschützt zu werden, ist in erster Linie, sich zu informieren – über die neuesten Angriffsmethoden sowie über Möglichkeiten zur Erhöhung der Cybersicherheit. Treffen Sie Vorsichtsmaßnahmen wie das Ändern von Standardkennwörtern, verwenden Sie eine Web Application Firewall und stellen Sie sicher, dass Sie aktuelle Software ausführen, auch auf Ihren Heimroutern und anderen Geräten. Mirais Vorgehensweise ist überraschend einfach, aber die Ergebnisse – insbesondere mit diesen erweiterten Fähigkeiten – könnten verheerend sein.