Neues IoT-Botnetz verbreitet sich rasant über Peer-to-Peer Verbindungen

Eine neue Welle eines IoT-Botnetzes ist auf dem Weg zu uns. Was anfänglich mit einem Netzwerk aus zwölf IoT-Geräte begann, umfasst mittlerweile über 24.000 gekaperte Systeme und erstreckt sich von Asien bis in die USA.

Das neue Botnetz wurde von Experten der Sicherheitsfirma Bitdefender auf den Namen “Hide ‘N Seek (HNS)” getauft und wurde bereits Anfang Januar entdeckt, bevor es auch plötzlich wieder verschwand. Am 20. Januar tauchte HNS in neuer verbesserter Version wieder auf und mauserte sich in kürzester Zeit zu einem Botnetz mit über 24.000 infizierten Geräten. Laut den Experten sollen auch bereits in Deutschland IoT-Geräte über das HNS-Botnet befehligt werden.

Bild: Bitdefender – weltweite Ausbreitung des Hide ‘N Seek – Botnetzes

Im Gegensatz zu allen anderen Botnetzen, die speziell auf Geräte im “Internet der Dinge (IoT)” ausgerichtet waren, soll das “Hide ‘N Seek (HNS)” Botnetz keine Modifikation des bekannten Mirai-Botnetzes sein. Laut den Experten basiert das HNS-Botnetz eher auf dem Hajime-Botnetz, wobei HNS zur Verbreitung einen speziell angepassten Peer-to-Peer Kommunikationsmechanismus nutzt und weniger auf hardcodierte IP-Adressen im Quellcode zurückgreift.

Zudem soll das HNS-Botnetz über infizierte IoT-Geräte weniger zur Durchführung von Distributed-Denial-of-Service (DDoS)-Angriffen dienen, als vielmehr zur Spionage und möglicher Erpressung eingesetzt werden.

Das HNS-Botnetz kommuniziert untereinander auf komplexe und dezentrale Art und Weise und verwendet mehrere Anti-Manipulations-Techniken die verhindern, dass Dritte es entführen bzw. kompromittieren können.

Wie geht der HNS-Bot vor?

Der Bot verfügt über einen wurmähnlichen Verbreitungsmechanismus, der nach dem Zufallsprinzip eine Liste von IP-Adressen generiert, um potenzielle Angriffsziele (IoT-Geräte) im Internet zu suchen. Wurde eine Verbindung mit einem Ziel (z.B. IoT-Geräte mit offenen Telnet-Port) hergestellt, werden erste Login-Versuche über Standard-Anmeldedaten gestartet. Wenn diese Versuche misslingen, werden sogenannte Wörterbuchangriffe (Dictionary-Angriffe) zur Hilfe genommen, diese sind im Quellcode des Bots fest hinterlegt. Wurde die erste Hürde genommen, verschafft sich der Bot einen Überblick und sammelt Informationen des Ziel-Gerätes um entsprechende Methoden auszuwählen, die eine Kompromittierung des Gerätes ermöglichen. Unter anderem bedient sich der HNS-Bot dem selben Exploit wie des Reaper-Botnet um Geräte zu infizieren. Derzeit gibt es keinen Hinweis darauf, dass die beiden Botnetze verwandt sind.

Der HNS-Bot ist in er Lage, verschiedene Arten von Befehlen zu empfangen und auszuführen, z. B. Löschen oder Übertragen von Daten, Ausführen von Code und Eingriffe in den Betrieb eines Geräts.

Während IoT-Botnetze seit Jahren existieren und hauptsächlich für DDoS-Angriffe verwendet werden, zeigt die Entdeckungen des “Hide and Seek-Bot”, dass Kriminelle nicht still stehen und neuartigen Schadcode bzw. botnetfähige Infektionen bedarfsgerecht (z.B. Spionage oder Erpressung) in ihrer Komplexität gestalten und jederzeit anpassen können.

Was können wir gegen einen “Hide ‘N Seek”-Bot ausrichten?

Wie andere IoT-Bots ist auch der HNS-Bot nicht nachhaltig, d.h. der Schadcode kann sich nicht dauerhaft in das System einnisten. Jeder Neustart bringt das kompromittierte Gerät wieder in den sauberen Zustand.

botfrei-Experten empfehlen Nutzer von IoT-Geräten: Stellen Sie sicher, dass Sie keine unsicheren Geräte mit dem Internet verbunden betreiben. Grundsätzlich sollte man sich immer fragen, ob wirklich alles mit dem Internet verbunden sein muss. Wenn ja, dann sollte überprüft werden, ob evtl. Standard-Passwörter in individuelle geändert werden können. Zudem sollte darauf geachtet werden, dass die aktuellste Firmware bzw. wenn vorhanden Sicherheits-Patches für die Geräte regelmäßig eingespielt werden.

Dieser Beitrag könnte Dich auch interessieren: “Was sind starke Passwörter?

 

Bild: Bitdefender