Kaspersky: Hajime-Botnet kapert 300.000 Router, Webcams und Videorekorder

Forscher von Kaspersky Lab haben einen IoT-Wurm untersucht, der offenbar seit Herbst 2016 im Umlauf ist. Seitdem hat der Hajime (Japanisch: Anfang) genannte Schädling fast 300.000 internetfähige Geräte zu einem P2P-Botnet hinzugefügt. Der Zweck des Botnetzes ist allerdings unbekannt.

In den vergangenen Monaten soll sich Hajime stetig weiterentwickelt haben. Der Analyse zufolge fügten die Hintermänner immer wieder neue Funktionen hinzu oder entfernten sie. Zudem nutzen sie die zum Teil schlechte Sicherheit von IoT-Geräten wie Webcams, Routern und digitalen Videorekordern aus.

Zugriff auf die fraglichen Geräte erhalten die Hacker über voreingestellte Telnet- und Gerätepasswörter. Gezielt gehen sie dabei unter anderem gegen Kabelmodems des Anbieters Arris vor. Neu ist ein Angriff auf eine Sicherheitslücke im Datenaustauschprotokoll TR-069, das für die Fernwartung von Endgeräten beim Kunden benutzt wird. Davon betroffene Router und Modems sind anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Generell richtet sich Hajime gegen jegliche internetfähige Geräte. Im Fall der Telnet-Angriffe soll eine Routine, bei der die Willkommensnachricht des entfernten Geräts geprüft wird, die Erfolgsquote erhöhen. Enthält sie bestimmte Wörter wie Namen von Herstellern oder Modellbezeichnungen, werden per Brute Force bestimmte Kombinationen aus Nutzernamen und Passwort übermittelt, um einen Telnet-Zugang zu erhalten.

Meldet sich auf eine Telnet-Anfrage ein Gerät des Herstellers Arris, nehmen die Hacker eine seit 2009 bekannte Sicherheitslücke ins Visier. Die „Passwort des Tages“ genannte Anfälligkeit beruht auf der Möglichkeit, ein täglich neu generiertes Zugangspasswort zu erraten. Einige Internet Service Provider hätten diese Lücke bis heute nicht geschlossen.

Mit einem Honeypot registrierten die Forscher zudem innerhalb von 24 Stunden alleine 2593 erfolgreiche Hajime-Angriffe per Telnet. Die meisten (20,04 Prozent) richteten sich gegen Nutzer in Vietnam, gefolgt von Taiwan, Brasilien, der Türkei, Korea und Indien. Insgesamt fanden sie 297.499 eindeutige infizierte Hosts, die eine Konfigurationsdatei für Hajime anforderten. 58.465 Hosts befanden sich anhand ihrer IP-Adresse im Iran, 26.188 in Brasilien und 23.418 in Vietnam. Auf den weiteren Plätzen folgen Russland, die Türkei, Indien, Pakistan und Italien.

„Die faszinierendste Sache an Hajime ist jedoch sein Zweck. Obwohl das Botnet immer größer und größer wird, zum Teil durch neue Angriffsmodule, bleibt sein Zweck unbekannt. Wir haben keine Angriffe oder gefährlichen Aktivitäten beobachtet“, heißt es im Kaspersky-Blog. „Und vielleicht wird das auch nicht geschehen.“

Ihre Vermutung begründen die Forscher mit einer Nachricht, die Hajime anzeigt, sobald eine neue Konfigurationsdatei heruntergeladen wurde. Darin heißt es: „Nur ein White Hat, der einige Systeme absichert. Wichtige Nachrichten werden wie diese signiert. Hajime-Autor.“

Ob die Nachricht vertrauenswürdig ist oder nicht, bleibt Kaspersky zufolge abzuwarten. Trotzdem rät das Unternehmen den Nutzern von IoT-Geräten, das voreingestellte Passwort zu ändern, nur Kennwörter zu verwenden, die per Brute Force nicht geknackt werde können und falls möglich die Gerätesoftware zu aktualisieren.

Radware weist darauf hin, dass das Botnetz unabhängig von den Motiven seiner Hintermänner auch für kriminelle Zwecke benutzt werden könnte. Erst kürzlich sei eine Anfälligkeit in Hajime geschlossen worden, die es Dritten erlaubt hätte, die Kontrolle über das Botnet zu übernehmen. Da Hajime extrem flexibel und ausbaufähig sei, sei es auch ein sehr attraktives Ziel für konkurrierende Hacker.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

7 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago