Security-Experten von Palo Alto Networks warnen

Seit der Entdeckung der Mirai-Variante ECHOBOT im Mai 2019, wie von Palo Alto Networks´ Analyseteam Unit 42 berichtet, tauchte sie von Zeit zu Zeit immer wieder auf. ECHOBOT trat hierbei mit neuer Infrastruktur in Erscheinung und einer erweiterten Liste an Schwachstellen, nach denen sie sucht, um ihre Angriffsfläche mit jeder Entwicklungsstufe zu vergrößern. Diese Mirai-Variante unterscheidet sich von konkurrierenden Varianten durch die Vielzahl der angesprochenen Schwachstellen, im Gegensatz zu anderen Varianten, die an bestimmten Schwachstellen festhalten, die sich im Laufe der Zeit bewährt haben.

Im Gegensatz zu anderen Mirai-Varianten zeichnet sich ECHOBOT auch durch die große Anzahl an Exploits aus, die sie beinhaltet. So weist die neueste Version insgesamt 71 einzigartige Exploits auf, von denen 13 bisher noch nicht ausgenutzt wurden. Diese reichen von sehr alten CVEs noch von 2003 bis hin zu ganz aktuellen Schwachstellen, die erst Anfang Dezember 2019 veröffentlicht wurden. Dies deutet darauf hin, dass die Akteure zu einen auf Schwachstellen von älteren Geräten abzielen, die noch im Einsatz sind, aber wahrscheinlich zu alt für ein Update sind aufgrund von Kompatibilitätsproblemen. Zum anderen spekulieren die Akteure bei neueren Schwachstellen darauf, dass diese so aktuell sind, dass die Betreiber noch keinen Patch durchgeführt haben.

Die neuen Exploits nehmen eine Reihe von sowohl gängigen als auch eher seltenen Zielen ins Visier. Diese reichen von Routern, Firewalls, IP-Kameras und Servermanagement-Dienstprogrammen bis hin zu speicherprogrammierbaren Steuerungen (SPS/PLC), einem Online-Zahlungssystem und sogar einer Webanwendung zur Steuerung von Yachten.

Die zuletzt beobachtete Version tauchte erstmals am 28. Oktober 2019 für ein paar Stunden auf, danach wurde sie abgeschaltet. Am 3. Dezember tauchte sie erneut auf, wechselte die Payload-IPs und fügte schließlich zwei weitere Exploits hinzu, die nicht in den Samples vom Oktober enthalten waren. Während Details zu dieser Version kürzlich veröffentlicht wurden, stellte Unit 42 jetzt die CVE-Nummern (sofern verfügbar) für die neuen Schwachstellen und die Kompromittierungs-Indikatoren für diese Version zur Verfügung, die Unit 42 seit Oktober verfolgt.