IoT-Botnetz mit Spionage-Skills

Ein neues Botnetz aus internetfähigen Geräten hat es scheinbar nicht auf Sabotage, sondern auf Informationsdiebstahl abgesehen. „Hide’n Seek“ soll auch in Österreich sein Unwesen treiben.

Sicherheitsforscher von Bitdefender haben ein neues Botnetz entdeckt, das mittlerweile mehr als 20.00 IoT-Geräte gekapert haben und sich weiterhin stark ausbreiten soll. Die Forscher wurden durch Infektionen ihres Honeypot-Systems erstmals am 10. Januar auf den Schädling aufmerksam, der anschließend kurzzeitig von der Bildfläche verschwand, um zehn Tage später in einer deutlich verbesserten Variante wieder aufzutauchen. Auch Geräte in Österreich sollen Teil des auf den Namen „Hide’n Seek“ getauften Botnetzes sein – wieviele hierzulande betroffen sind, geht aus der Berichterstattung allerdings nicht hervor.

Bemerkenswert ist die Tatsache, dass Hide’n Seek, anders als etwa Mirai und seine Nachfolger, wohl nicht (primär) der Durchführung von Distributed-Denial-of-Service (DDoS)-Angriffen dient. Der von den Forschern analysierte Quellcode beinhaltet stattdessen Funktionen, die eher auf Spionage und möglicherweise auch auf anschließende Erpressungsversuche hindeuten. Angaben zu bereits erfolgten Angriffen machen die Forscher nicht.

Hide’n Seek basiert auf einer dezentralen Peer-to-Peer-Struktur, die für IoT-Botnetze eher untypisch ist: Laut Bitdefender wurde sie in ähnlicher Form bislang nur beim 2016 entdeckten Hajime-IoT-Botnetz beobachtet.

Die einzelnen Bots machen sich mittels einer Liste mit frisch generierten Zufalls-IPs auf die Suche nach potenziellen Angriffsszielen. Reagieren diese auf die Kommunikation über bestimmte Ports, folgen Login-Versuche per Default-Zugangsdaten sowie Dictionary-Angriffe. Zur endgültigen Kompromittierung kommen je nach Zielgerät unterschiedliche Exploits zum Einsatz – darunter auch ein Angriff auf die bereits vom Reaper-Botnetz attackierte Schwachstelle CVE-2016-10401.

Die Komunikation zwischen den gekaperten Geräten erfolgt via UDP-Protokoll. Neben Update-Mechanismen und dem Austausch von Konfigurationsdateien können die einzelnen Zombies unter anderem auch Login-Daten weitergeben, die sich bei Dictionary-Angriffen als wirkungsvoll erwiesen haben. Zudem ist es möglich, eine hashbasierte Suche nach Daten im gesamten P2P-Netzwerk zu starten, gefundene Daten auszulesen und diese an vordefinierte IP-Adressen aus der Konfigurationsdatei weiterzuleiten.

Ein Lichtblick ist die Tatsache, dass sich der Hide’n Seek-Schadcode bisher nicht dauerhaft einnisten kann: Infizierte Geräte lassen sich mittels Reboot ganz einfach von ihm befreien. Das setzt allerdings voraus, dass sich der Besitzer eines internetfähigen Gerätes der Infektion überhaupt bewusst ist und sich aus diesem Grund für einen Neustart entscheidet.

2018-01-25T22:07:57+00:00