Kaspersky: Hajime-Botnet kapert 300.000 Router, Webcams und Videorekorder

Forscher von Kaspersky Lab haben einen IoT-Wurm untersucht, der offenbar seit Herbst 2016 im Umlauf ist. Seitdem hat der Hajime (Japanisch: Anfang) genannte Schädling fast 300.000 internetfähige Geräte zu einem P2P-Botnet hinzugefügt. Der Zweck des Botnetzes ist allerdings unbekannt.

In den vergangenen Monaten soll sich Hajime stetig weiterentwickelt haben. Der Analyse zufolge fügten die Hintermänner immer wieder neue Funktionen hinzu oder entfernten sie. Zudem nutzen sie die zum Teil schlechte Sicherheit von IoT-Geräten wie Webcams, Routern und digitalen Videorekordern aus.

Zugriff auf die fraglichen Geräte erhalten die Hacker über voreingestellte Telnet- und Gerätepasswörter. Gezielt gehen sie dabei unter anderem gegen Kabelmodems des Anbieters Arris vor. Neu ist ein Angriff auf eine Sicherheitslücke im Datenaustauschprotokoll TR-069, das für die Fernwartung von Endgeräten beim Kunden benutzt wird. Davon betroffene Router und Modems sind anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Generell richtet sich Hajime gegen jegliche internetfähige Geräte. Im Fall der Telnet-Angriffe soll eine Routine, bei der die Willkommensnachricht des entfernten Geräts geprüft wird, die Erfolgsquote erhöhen. Enthält sie bestimmte Wörter wie Namen von Herstellern oder Modellbezeichnungen, werden per Brute Force bestimmte Kombinationen aus Nutzernamen und Passwort übermittelt, um einen Telnet-Zugang zu erhalten.

Meldet sich auf eine Telnet-Anfrage ein Gerät des Herstellers Arris, nehmen die Hacker eine seit 2009 bekannte Sicherheitslücke ins Visier. Die „Passwort des Tages“ genannte Anfälligkeit beruht auf der Möglichkeit, ein täglich neu generiertes Zugangspasswort zu erraten. Einige Internet Service Provider hätten diese Lücke bis heute nicht geschlossen.

Mit einem Honeypot registrierten die Forscher zudem innerhalb von 24 Stunden alleine 2593 erfolgreiche Hajime-Angriffe per Telnet. Die meisten (20,04 Prozent) richteten sich gegen Nutzer in Vietnam, gefolgt von Taiwan, Brasilien, der Türkei, Korea und Indien. Insgesamt fanden sie 297.499 eindeutige infizierte Hosts, die eine Konfigurationsdatei für Hajime anforderten. 58.465 Hosts befanden sich anhand ihrer IP-Adresse im Iran, 26.188 in Brasilien und 23.418 in Vietnam. Auf den weiteren Plätzen folgen Russland, die Türkei, Indien, Pakistan und Italien.

„Die faszinierendste Sache an Hajime ist jedoch sein Zweck. Obwohl das Botnet immer größer und größer wird, zum Teil durch neue Angriffsmodule, bleibt sein Zweck unbekannt. Wir haben keine Angriffe oder gefährlichen Aktivitäten beobachtet“, heißt es im Kaspersky-Blog. „Und vielleicht wird das auch nicht geschehen.“

Ihre Vermutung begründen die Forscher mit einer Nachricht, die Hajime anzeigt, sobald eine neue Konfigurationsdatei heruntergeladen wurde. Darin heißt es: „Nur ein White Hat, der einige Systeme absichert. Wichtige Nachrichten werden wie diese signiert. Hajime-Autor.“

Ob die Nachricht vertrauenswürdig ist oder nicht, bleibt Kaspersky zufolge abzuwarten. Trotzdem rät das Unternehmen den Nutzern von IoT-Geräten, das voreingestellte Passwort zu ändern, nur Kennwörter zu verwenden, die per Brute Force nicht geknackt werde können und falls möglich die Gerätesoftware zu aktualisieren.

Radware weist darauf hin, dass das Botnetz unabhängig von den Motiven seiner Hintermänner auch für kriminelle Zwecke benutzt werden könnte. Erst kürzlich sei eine Anfälligkeit in Hajime geschlossen worden, die es Dritten erlaubt hätte, die Kontrolle über das Botnet zu übernehmen. Da Hajime extrem flexibel und ausbaufähig sei, sei es auch ein sehr attraktives Ziel für konkurrierende Hacker.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago