Trend Micro hat ein neues IoT-Botnetz namens Persirai entdeckt. Es besteht ausschließlich aus IP-Kameras. Insgesamt sind mehr als 1000 verschiedene Kamera-Modelle, die auf Produkten mehrerer Original Equipment Manufacturer (OEM) basieren, anfällig für die Persirai-Malware. Die gekaperten Kameras werden den Forschern zufolge ähnlich wie bei den Botnetzen Mirai und Hajime für Distributed-Denial-of-Service-Angriffe (DDoS) benutzt.
Die Hintermänner von Persirai greifen das Web-Interface der Kameras über den geöffneten TCP-Port 81 sowie eine Zero-Day-Lücke an, die es ihnen erlaubt, die Abfrage der Anmeldedaten zu umgehen. „Nach der Anmeldung kann der Angreifer Befehle einschleusen und die IP-Kamera zwingen, sich mit einer Download-Website zu verbinden“, heißt es im Trend-Micro-Blog. Danach werde ein schädliches Shell-Skript heruntergeladen und ausgeführt, wobei die eigentliche Malware ausschließlich im Arbeitsspeicher verbleibe, was eine Erkennung erschwere.
Die gehackten Kameras nehmen schließlich Kontakt zu einem Befehlsserver der Angreifer auf. Darüber erhalten sie die für die DDoS-Attacken benötigten Anweisungen. Die Server nutzen die Top-Level-Domain „IR“, die von einem iranischen Forschungsinstitut ausgegeben werde und auf iranische Bürger beschränkt sei, so Trend Micro weiter. Zudem enthalte der Malware-Code einige spezielle persische Zeichen.
Darüber hinaus blockieren die Hacker auch die Zero-Day-Lücke, um zu verhindern, dass andere Angreifer die bereits kompromittierten Kameras kapern. Trend Micro zufolge beendet ein Neustart der Kameras zwar einen laufenden Angriff, die Zero-Day-Lücke wird dadurch aber wieder geöffnet. Hacker könnten also erneut versuchen könnten, die Kontrolle zu übernehmen.
Entdeckt wurde die Zero-Day-Lücke bereits Anfang März vom Sicherheitsforscher Pierre Kim. Er registrierte zu dem Zeitpunkt 1250 betroffene Kameramodelle und 185.000 anfällige Kameras. Trend Micro weist darauf hin, dass für eine von seinen Forschern getestete Kamera laut Hersteller ein Firmware-Update mit einem Patch zur Verfügung stehen sollte. Die Kamera habe jedoch gemeldet, es sei bereits die aktuellste Firmware installiert.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
