Kaspersky: Hajime-Botnet kapert 300.000 Router, Webcams und Videorekorder

Forscher von Kaspersky Lab haben einen IoT-Wurm untersucht, der offenbar seit Herbst 2016 im Umlauf ist. Seitdem hat der Hajime (Japanisch: Anfang) genannte Schädling fast 300.000 internetfähige Geräte zu einem P2P-Botnet hinzugefügt. Der Zweck des Botnetzes ist allerdings unbekannt.

In den vergangenen Monaten soll sich Hajime stetig weiterentwickelt haben. Der Analyse zufolge fügten die Hintermänner immer wieder neue Funktionen hinzu oder entfernten sie. Zudem nutzen sie die zum Teil schlechte Sicherheit von IoT-Geräten wie Webcams, Routern und digitalen Videorekordern aus.

Zugriff auf die fraglichen Geräte erhalten die Hacker über voreingestellte Telnet- und Gerätepasswörter. Gezielt gehen sie dabei unter anderem gegen Kabelmodems des Anbieters Arris vor. Neu ist ein Angriff auf eine Sicherheitslücke im Datenaustauschprotokoll TR-069, das für die Fernwartung von Endgeräten beim Kunden benutzt wird. Davon betroffene Router und Modems sind anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Generell richtet sich Hajime gegen jegliche internetfähige Geräte. Im Fall der Telnet-Angriffe soll eine Routine, bei der die Willkommensnachricht des entfernten Geräts geprüft wird, die Erfolgsquote erhöhen. Enthält sie bestimmte Wörter wie Namen von Herstellern oder Modellbezeichnungen, werden per Brute Force bestimmte Kombinationen aus Nutzernamen und Passwort übermittelt, um einen Telnet-Zugang zu erhalten.

Meldet sich auf eine Telnet-Anfrage ein Gerät des Herstellers Arris, nehmen die Hacker eine seit 2009 bekannte Sicherheitslücke ins Visier. Die „Passwort des Tages“ genannte Anfälligkeit beruht auf der Möglichkeit, ein täglich neu generiertes Zugangspasswort zu erraten. Einige Internet Service Provider hätten diese Lücke bis heute nicht geschlossen.

Mit einem Honeypot registrierten die Forscher zudem innerhalb von 24 Stunden alleine 2593 erfolgreiche Hajime-Angriffe per Telnet. Die meisten (20,04 Prozent) richteten sich gegen Nutzer in Vietnam, gefolgt von Taiwan, Brasilien, der Türkei, Korea und Indien. Insgesamt fanden sie 297.499 eindeutige infizierte Hosts, die eine Konfigurationsdatei für Hajime anforderten. 58.465 Hosts befanden sich anhand ihrer IP-Adresse im Iran, 26.188 in Brasilien und 23.418 in Vietnam. Auf den weiteren Plätzen folgen Russland, die Türkei, Indien, Pakistan und Italien.

„Die faszinierendste Sache an Hajime ist jedoch sein Zweck. Obwohl das Botnet immer größer und größer wird, zum Teil durch neue Angriffsmodule, bleibt sein Zweck unbekannt. Wir haben keine Angriffe oder gefährlichen Aktivitäten beobachtet“, heißt es im Kaspersky-Blog. „Und vielleicht wird das auch nicht geschehen.“

Ihre Vermutung begründen die Forscher mit einer Nachricht, die Hajime anzeigt, sobald eine neue Konfigurationsdatei heruntergeladen wurde. Darin heißt es: „Nur ein White Hat, der einige Systeme absichert. Wichtige Nachrichten werden wie diese signiert. Hajime-Autor.“

Ob die Nachricht vertrauenswürdig ist oder nicht, bleibt Kaspersky zufolge abzuwarten. Trotzdem rät das Unternehmen den Nutzern von IoT-Geräten, das voreingestellte Passwort zu ändern, nur Kennwörter zu verwenden, die per Brute Force nicht geknackt werde können und falls möglich die Gerätesoftware zu aktualisieren.

Radware weist darauf hin, dass das Botnetz unabhängig von den Motiven seiner Hintermänner auch für kriminelle Zwecke benutzt werden könnte. Erst kürzlich sei eine Anfälligkeit in Hajime geschlossen worden, die es Dritten erlaubt hätte, die Kontrolle über das Botnet zu übernehmen. Da Hajime extrem flexibel und ausbaufähig sei, sei es auch ein sehr attraktives Ziel für konkurrierende Hacker.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.