Forscher warnen vor schnellem Wachstum des IoT-Botnets Reaper

Forscher warnen, dass das vor rund einem Monat aufgetauchte Botnet Reaper aus infizierten IoT-Geräten auf dem besten Weg ist, eines der größten Botnetze der vergangenen Jahre zu werden. Check Point zufolge soll es deutlich schneller wachsen als das Mirai-Botnetz, das vor einem Jahr für einen massiven DDoS-Angriff verantwortlich war und damit Störungen von Spotify und Twitter ausgelöst hatte.

Inzwischen soll Reaper fast zwei Millionen Webcams, Sicherheitskameras und digitale Videorecorder kontrollieren. Laut Ken Munro, Sicherheitsberater beim britischen Anbieter Pen Test Partners, ist Reaper fortschrittlicher als Mirai und wiederholt verschiedene Fehler nicht, die das Wachstum von Mirai beschränkten. Reaper sei das, was Mirai „leicht hätte sein können“, sagte Munro im Gespräch mit ZDNet USA.

Während Mirai eine Liste mit vorgegebenen Nutzernamen und Passwörtern nutzte, um IoT-Geräte unter seine Kontrolle zu bringen, setzt Reaper nun auf bekannte Sicherheitslücken, um Schadcode einzuschleusen und auszuführen. Daraus ergibt sich den Sicherheitsforschern zufolge ein wichtiger Unterschied: Die Manipulationen der Betreiber des Mirai-Botnets ließen sich durch einen Neustart des Geräts rückgängig machen – Geräte, die unter der Kontrolle von Reaper stehen, sind auch nach einem Neustart noch kompromittiert.

Darüber hinaus ist Reaper in der Lage, sich wie ein Wurm im Netzwerk zu verbreiten und weitere anfällige Geräte anzugreifen. Munro weist auch darauf hin, dass Angriffe über Sicherheitslücken schlechter zu erkennen sind. Zudem hätten im Fall von Mirai mehrere Cyberkriminelle um die Kontrolle über kompromittierte Geräte gekämpft. „Das riesige Botnetz, das Mirai hätte sein können, wurde nie aufgebaut“, ergänzte Munro.

Laut Sicherheitsanbieter Netlab, der als Erster das Reaper-Botnet beschrieben hatte, nutzt es neun bekannte Sicherheitslücken in Produkten von D-Link, Netgear, AVTech und weiteren Herstellern. Seitdem seien weitere Exploits zum Arsenal des Botnets hinzugefügt worden, was seine Fähigkeiten erweitere. Check Point zählt inzwischen 33 anfällige Geräte. Unklar ist allerdings weiterhin, zu welchem Zweck dieses Botnet aufgebaut wird.

Mirai war auf die Erzeugung von Webtraffic für Distributed-Denial-of-Service-Angriffe ausgerichtet, um Systeme zu überlasten. Reaper soll in der Lage sein, komplexe Skripte auf den infizierten Geräten auszuführen. Als Folge könne Reaper schon jetzt deutlich mehr Traffic zu erzeugen als Mirai, ergänzte Munro.

Der Sicherheitsexperte spekuliert auch über einen möglichen Angriff auf Stromnetze. Vor allem IoT-Geräte mit einem hohen Stromverbrauch wie Wasserkocher oder Klimaanlagen könnten von den Angreifern soweit ausgelastet werden, dass ihr Stromverbrauch das Stromnetz überlastet. „Sprich eine Million Geräte an, die jeweils 3 Kilowatt benötigen, und das Stromnetz bricht zusammen.“

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.