Categories: Sicherheit

LizardStresser-Botnetze nutzten IoT-Geräte für 400-GBit/s-DDoS-Angriffe

Das von Cyberkriminellen für DDoS-Angriffe verwendete Botnetz LizardStresser erlebt derzeit seinen zweiten Frühling. Wie Sicherheitsforscher von Arbor Networks‘ ASERT Group festgestellt haben, macht es sich die stetig wachsende Zahl von IoT-Geräten zunutze, um seine Struktur zu stärken und groß angelegte Angriffe mit einem Durchsatz von bis zu 400 GBit/s auf weltweite Spiele-Websites, brasilianische Finanzinstitute, Internet Service Provider und Regierungseinrichtungen zu fahren.

Ursprünglich war das von der berüchtigten Hackergruppe Lizard Squad geschaffene Distributed-Denial-of-Service-Tool für Angriffe auf Online-Medien und Regierungsbehörden genutzt worden. Wie alle Botnetze besteht es aus Kontrollservern und zahlreichen kompromittierten Slave-Systemen mit denen Domains mit Anfragen überflutet werden, sodass die auf ihnen gehosteten Dienste gestört werden.

2015 wurde der Quellcode des Botnetzes öffentlich, was Kriminellen die Möglichkeit gab, eigene Rechnerverbunde auf Basis des LizardStresser-Frameworks aufzubauen. Seitdem hat sich die Zahl der Command-and-Control-Server (C&C-Server) laut Arbor stetig erhöht. Einige davon griffen vor allem auf IoT-Geräte zu, die oft nur unzureichend geschützt sind, darunter WLAN-fähige Kameras, Überwachungssysteme, Lichtsysteme oder sogar Kühlschränke.

Das in C geschriebene und für Linux-Systeme designte Botnetz lässt sich sehr einfach kompilieren, ausführen und an Architekturen wie x86, ARM sowie MIPS anpassen, welche die häufigsten Plattformen für vernetzte Geräte darstellen. Die Versionen, die auf IoT-Produkte abzielen, versuchen via Telnet mittels Brute-Force-Methoden sich an zufälligen IP-Adressen mit fest kodierten Listen von Nutzerzugangsdaten anzumelden. Ein IoT-Gerät, bei dem sich die fest kodierten Anmeldedaten nicht wechseln lassen oder bei dem der Nutzer eine manuelle Änderung versäumt hat, laufen so Gefahr, zu einem Botnetz-Slave zu werden.

„Im Fall von DDoS-Malware ist der Wert des Opfers, wieviel Bandbreite es zum Angriffsdatenverkehr beitragen kann“, erklärt Arbor. „Wenn eine Maschine bereits kompromittiert wurde, wird seine Bandbreite wahrscheinlich missbraucht. Der Angreifer kann versuchen, konkurrierende Malware zu entfernen, aber das ist zeit- und arbeitsaufwendig.“

HIGHLIGHT

Wer profitiert am meisten vom Internet der Dinge?

NetMediaEurope führt eine Umfrage zum Thema „Internet der Dinge (IoT)“ durch. Wir würden gerne von Ihnen wissen, welche IT-Hersteller und –Märkte Sie als größte Nutznießer von IoT sehen. Sobald wir unsere Untersuchung beendet haben, übersenden wir Ihnen als Dankeschön gerne eine Zusammenfassung der Studie. Sie kennen sich mit IoT noch nicht so gut aus? Dann besuchen Sie doch einfach das Special zum Internet der Dinge auf silicon.de. Vielen Dank im Voraus für Ihre Teilnahme.

Das ASERT-Team hat zwei LizardStresser-Botnetze näher untersucht, die wahrscheinlich von einer einzelnen Gruppe aufgesetzt wurden. In ihrem Fokus stehen Ziele in Brasilien und Gaming-Dienste. Die beiden Botnetze haben in diesem Jahr bereits Angriffe auf mehrere Ziele gestartet, einen davon mit einer Gesamtstärke von mehr als 400 GBit/s Durchsatz, ausgehend von tausenden Quelladressen.

Bisher von diesen DDoS-Attacken betroffen waren zwei brasilianische Banken, zwei brasilianische Telekommunikationsanbieter, zwei brasilianische Regierungsbehörden und drei große Spielefirmen in den Vereinigten Staaten. Der Traffic stammte hauptsächlich aus Vietnam und Brasilien.

Das ASERT-Team stellte fest, dass fast 90 Prozent der beteiligten Hosts im Slave-Netzwerk den HTML-Titel „NETSurveillance WEB“ trugen, was ein generischer Code von internetfähigen Webcams ist, die nicht nur mit Standard-Anmeldedaten online sind, sondern auch mit werksseitig aktiviertem Telnet. „Nach minimalen Nachforschungen hinsichtlich Standardpasswörtern für IoT-Geräte, sind [die Angreifer] in der Lage, ihren Botnetzen eine exklusive Opfergruppe hinzuzufügen“, so die Sicherheitsforscher.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago