Neues IoT-Botnetz entdeckt
Radware entdeckt PDoS-Attacke gegen IoT-Geräte
Update 11.4.2017
BrickerBot ist möglicherweise Konkurrenzkampf
Grey Hat Hacker, die die Welt vor IoT-Botnetzen schützen wollen, sich aber in der Wahl der Mittel vergriffen haben? Jemand, der die Hersteller unsicherer IoT-Geräte mit einer Vielzahl Support- und Garantieanfragen belasten will? Wer hinter dem kürzlich aufgedeckten BrickerBot steckt, der befallene IoT-Geräte unbrauchbar macht – darüber wird viel spekuliert. Beides sei durchaus möglich, so Pascal Geenens, der als erster vor dem neuen Bot gewarnt hat.
Doch er sieht auch eine dritte Möglichkeit. "Ich kann mir auch vorstellen, dass es der Betreiber eines traditionellen Botnetzes ist, der die Billigkonkurrenz aus dem Spiel nehmen will", so der Security Evangelist DACH bei Radware. Viele Leute haben eine Menge Aufwand in ihre Botnetze gesteckt, die sie gegen Geld vermieten. Botnets aus IoT-Geräten sind wesentlich einfacher, schneller und billiger zu kreieren greifen so die etablierten Betreiber an."
PDoS-Angriffe alias "Phlashing"
Der Cybersecurity-Spezialist Radware hat ein neues Permanent Denial-of-Service (PDoS) Botnetz entdeckt, dessen Angriffe darauf zielen, die Hardware der Opfer dauerhaft unbrauchbar zu machen. Ein PDoS-Angriff, auch als "Phlashing" bekannt, kann ein System so schwer beschädigen, dass Ersatz oder Neuinstallation von Hardware erforderlich werden. Der neue, als BrickerBot bezeichnete, Bot attackiert ausschließlich Linux/BusyBox-basierende IoT-Geräte.
Ähnlich wie zuvor Mirai führt er eine Brute-Force Attacke gegen offene Telnet-Ports auf diesen Geräten aus. Bei Erfolg kompromittiert er den Speicher des befallenen Geräts, unterbricht die Internetverbindung und löscht schließlich sämtliche Dateien auf Flash- und Kartenspeichern. Da BrickerBot nicht versucht, Dateien nachzuladen, ist auch nicht bekannt, mit welchen Zugangsdaten der Bot versucht, die Geräte zu kapern; der erste Versuch erfolgt jedoch immer mit der Username/Password-Kombination ‚root’/’vizxv‘, die als Default bei bestimmten Kameras und digitalen Videorekordern verwendet wird.
Während der Radware-Honeypot beim ersten, kurzlebigen Angriff (BrickerBot.1) 1.895 Versuche aus allen Kontinenten registrierte, begann fast zeitgleich ein zweites Botnet mit seinen Attacken; diesmal mit geringerer Intensität, dafür anhaltend und mit über TOR verschleierten Absenderadressen. Dieses BrickerBot.2 genannte Netz nutzt nicht BusyBox, sondern verwendet ‚dd‘ und ‚cat‘ zum Überschreiben des Speichers, je nachdem, welche der beiden Möglichkeiten es vorfindet. So kann es eine deutlich größere Palette von Zielgeräten attackieren.
Entdecker des Botnetzes: Pascal Geenens, Security Evangelist DACH bei Radware
