Kaspersky: Hajime-Botnet kapert 300.000 Router, Webcams und Videorekorder

Forscher von Kaspersky Lab haben einen IoT-Wurm untersucht, der offenbar seit Herbst 2016 im Umlauf ist. Seitdem hat der Hajime (Japanisch: Anfang) genannte Schädling fast 300.000 internetfähige Geräte zu einem P2P-Botnet hinzugefügt. Der Zweck des Botnetzes ist allerdings unbekannt.

In den vergangenen Monaten soll sich Hajime stetig weiterentwickelt haben. Der Analyse zufolge fügten die Hintermänner immer wieder neue Funktionen hinzu oder entfernten sie. Zudem nutzen sie die zum Teil schlechte Sicherheit von IoT-Geräten wie Webcams, Routern und digitalen Videorekordern aus.

Zugriff auf die fraglichen Geräte erhalten die Hacker über voreingestellte Telnet- und Gerätepasswörter. Gezielt gehen sie dabei unter anderem gegen Kabelmodems des Anbieters Arris vor. Neu ist ein Angriff auf eine Sicherheitslücke im Datenaustauschprotokoll TR-069, das für die Fernwartung von Endgeräten beim Kunden benutzt wird. Davon betroffene Router und Modems sind anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Generell richtet sich Hajime gegen jegliche internetfähige Geräte. Im Fall der Telnet-Angriffe soll eine Routine, bei der die Willkommensnachricht des entfernten Geräts geprüft wird, die Erfolgsquote erhöhen. Enthält sie bestimmte Wörter wie Namen von Herstellern oder Modellbezeichnungen, werden per Brute Force bestimmte Kombinationen aus Nutzernamen und Passwort übermittelt, um einen Telnet-Zugang zu erhalten.

Meldet sich auf eine Telnet-Anfrage ein Gerät des Herstellers Arris, nehmen die Hacker eine seit 2009 bekannte Sicherheitslücke ins Visier. Die „Passwort des Tages“ genannte Anfälligkeit beruht auf der Möglichkeit, ein täglich neu generiertes Zugangspasswort zu erraten. Einige Internet Service Provider hätten diese Lücke bis heute nicht geschlossen.

Mit einem Honeypot registrierten die Forscher zudem innerhalb von 24 Stunden alleine 2593 erfolgreiche Hajime-Angriffe per Telnet. Die meisten (20,04 Prozent) richteten sich gegen Nutzer in Vietnam, gefolgt von Taiwan, Brasilien, der Türkei, Korea und Indien. Insgesamt fanden sie 297.499 eindeutige infizierte Hosts, die eine Konfigurationsdatei für Hajime anforderten. 58.465 Hosts befanden sich anhand ihrer IP-Adresse im Iran, 26.188 in Brasilien und 23.418 in Vietnam. Auf den weiteren Plätzen folgen Russland, die Türkei, Indien, Pakistan und Italien.

„Die faszinierendste Sache an Hajime ist jedoch sein Zweck. Obwohl das Botnet immer größer und größer wird, zum Teil durch neue Angriffsmodule, bleibt sein Zweck unbekannt. Wir haben keine Angriffe oder gefährlichen Aktivitäten beobachtet“, heißt es im Kaspersky-Blog. „Und vielleicht wird das auch nicht geschehen.“

Ihre Vermutung begründen die Forscher mit einer Nachricht, die Hajime anzeigt, sobald eine neue Konfigurationsdatei heruntergeladen wurde. Darin heißt es: „Nur ein White Hat, der einige Systeme absichert. Wichtige Nachrichten werden wie diese signiert. Hajime-Autor.“

Ob die Nachricht vertrauenswürdig ist oder nicht, bleibt Kaspersky zufolge abzuwarten. Trotzdem rät das Unternehmen den Nutzern von IoT-Geräten, das voreingestellte Passwort zu ändern, nur Kennwörter zu verwenden, die per Brute Force nicht geknackt werde können und falls möglich die Gerätesoftware zu aktualisieren.

Radware weist darauf hin, dass das Botnetz unabhängig von den Motiven seiner Hintermänner auch für kriminelle Zwecke benutzt werden könnte. Erst kürzlich sei eine Anfälligkeit in Hajime geschlossen worden, die es Dritten erlaubt hätte, die Kontrolle über das Botnet zu übernehmen. Da Hajime extrem flexibel und ausbaufähig sei, sei es auch ein sehr attraktives Ziel für konkurrierende Hacker.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

18 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

18 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago