Trend Micro hat ein neues IoT-Botnetz namens Persirai entdeckt. Es besteht ausschließlich aus IP-Kameras. Insgesamt sind mehr als 1000 verschiedene Kamera-Modelle, die auf Produkten mehrerer Original Equipment Manufacturer (OEM) basieren, anfällig für die Persirai-Malware. Die gekaperten Kameras werden den Forschern zufolge ähnlich wie bei den Botnetzen Mirai und Hajime für Distributed-Denial-of-Service-Angriffe (DDoS) benutzt.
Die Hintermänner von Persirai greifen das Web-Interface der Kameras über den geöffneten TCP-Port 81 sowie eine Zero-Day-Lücke an, die es ihnen erlaubt, die Abfrage der Anmeldedaten zu umgehen. „Nach der Anmeldung kann der Angreifer Befehle einschleusen und die IP-Kamera zwingen, sich mit einer Download-Website zu verbinden“, heißt es im Trend-Micro-Blog. Danach werde ein schädliches Shell-Skript heruntergeladen und ausgeführt, wobei die eigentliche Malware ausschließlich im Arbeitsspeicher verbleibe, was eine Erkennung erschwere.
Die gehackten Kameras nehmen schließlich Kontakt zu einem Befehlsserver der Angreifer auf. Darüber erhalten sie die für die DDoS-Attacken benötigten Anweisungen. Die Server nutzen die Top-Level-Domain „IR“, die von einem iranischen Forschungsinstitut ausgegeben werde und auf iranische Bürger beschränkt sei, so Trend Micro weiter. Zudem enthalte der Malware-Code einige spezielle persische Zeichen.
Darüber hinaus blockieren die Hacker auch die Zero-Day-Lücke, um zu verhindern, dass andere Angreifer die bereits kompromittierten Kameras kapern. Trend Micro zufolge beendet ein Neustart der Kameras zwar einen laufenden Angriff, die Zero-Day-Lücke wird dadurch aber wieder geöffnet. Hacker könnten also erneut versuchen könnten, die Kontrolle zu übernehmen.
Entdeckt wurde die Zero-Day-Lücke bereits Anfang März vom Sicherheitsforscher Pierre Kim. Er registrierte zu dem Zeitpunkt 1250 betroffene Kameramodelle und 185.000 anfällige Kameras. Trend Micro weist darauf hin, dass für eine von seinen Forschern getestete Kamera laut Hersteller ein Firmware-Update mit einem Patch zur Verfügung stehen sollte. Die Kamera habe jedoch gemeldet, es sei bereits die aktuellste Firmware installiert.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
