LizardStresser-Botnetze nutzten IoT-Geräte für 400-GBit/s-DDoS-Angriffe

Die Botnetz-Betreiber machen sich die Tatsache zunutze, dass viele IoT-Geräte Standardzugangsdaten verwenden und nur unzureichend geschützt sind. So können sie leicht als Slave in die Botnetz-Infrastruktur eingebunden und ihre Bandbreite für Angriffe missbraucht werden.

Das von Cyberkriminellen für DDoS-Angriffe verwendete Botnetz LizardStresser erlebt derzeit seinen zweiten Frühling. Wie Sicherheitsforscher von Arbor Networks‘ ASERT Group festgestellt haben, macht es sich die stetig wachsende Zahl von IoT-Geräten zunutze, um seine Struktur zu stärken und groß angelegte Angriffe mit einem Durchsatz von bis zu 400 GBit/s auf weltweite Spiele-Websites, brasilianische Finanzinstitute, Internet Service Provider und Regierungseinrichtungen zu fahren.

Botnetz-WarnschildUrsprünglich war das von der berüchtigten Hackergruppe Lizard Squad geschaffene Distributed-Denial-of-Service-Tool für Angriffe auf Online-Medien und Regierungsbehörden genutzt worden. Wie alle Botnetze besteht es aus Kontrollservern und zahlreichen kompromittierten Slave-Systemen mit denen Domains mit Anfragen überflutet werden, sodass die auf ihnen gehosteten Dienste gestört werden.

2015 wurde der Quellcode des Botnetzes öffentlich, was Kriminellen die Möglichkeit gab, eigene Rechnerverbunde auf Basis des LizardStresser-Frameworks aufzubauen. Seitdem hat sich die Zahl der Command-and-Control-Server (C&C-Server) laut Arbor stetig erhöht. Einige davon griffen vor allem auf IoT-Geräte zu, die oft nur unzureichend geschützt sind, darunter WLAN-fähige Kameras, Überwachungssysteme, Lichtsysteme oder sogar Kühlschränke.

Das in C geschriebene und für Linux-Systeme designte Botnetz lässt sich sehr einfach kompilieren, ausführen und an Architekturen wie x86, ARM sowie MIPS anpassen, welche die häufigsten Plattformen für vernetzte Geräte darstellen. Die Versionen, die auf IoT-Produkte abzielen, versuchen via Telnet mittels Brute-Force-Methoden sich an zufälligen IP-Adressen mit fest kodierten Listen von Nutzerzugangsdaten anzumelden. Ein IoT-Gerät, bei dem sich die fest kodierten Anmeldedaten nicht wechseln lassen oder bei dem der Nutzer eine manuelle Änderung versäumt hat, laufen so Gefahr, zu einem Botnetz-Slave zu werden.

„Im Fall von DDoS-Malware ist der Wert des Opfers, wieviel Bandbreite es zum Angriffsdatenverkehr beitragen kann“, erklärt Arbor. „Wenn eine Maschine bereits kompromittiert wurde, wird seine Bandbreite wahrscheinlich missbraucht. Der Angreifer kann versuchen, konkurrierende Malware zu entfernen, aber das ist zeit- und arbeitsaufwendig.“

HIGHLIGHT

Wer profitiert am meisten vom Internet der Dinge?

NetMediaEurope führt eine Umfrage zum Thema „Internet der Dinge (IoT)“ durch. Wir würden gerne von Ihnen wissen, welche IT-Hersteller und –Märkte Sie als größte Nutznießer von IoT sehen. Sobald wir unsere Untersuchung beendet haben, übersenden wir Ihnen als Dankeschön gerne eine Zusammenfassung der Studie. Sie kennen sich mit IoT noch nicht so gut aus? Dann besuchen Sie doch einfach das Special zum Internet der Dinge auf silicon.de. Vielen Dank im Voraus für Ihre Teilnahme.

Das ASERT-Team hat zwei LizardStresser-Botnetze näher untersucht, die wahrscheinlich von einer einzelnen Gruppe aufgesetzt wurden. In ihrem Fokus stehen Ziele in Brasilien und Gaming-Dienste. Die beiden Botnetze haben in diesem Jahr bereits Angriffe auf mehrere Ziele gestartet, einen davon mit einer Gesamtstärke von mehr als 400 GBit/s Durchsatz, ausgehend von tausenden Quelladressen.

Bisher von diesen DDoS-Attacken betroffen waren zwei brasilianische Banken, zwei brasilianische Telekommunikationsanbieter, zwei brasilianische Regierungsbehörden und drei große Spielefirmen in den Vereinigten Staaten. Der Traffic stammte hauptsächlich aus Vietnam und Brasilien.

Das ASERT-Team stellte fest, dass fast 90 Prozent der beteiligten Hosts im Slave-Netzwerk den HTML-Titel „NETSurveillance WEB“ trugen, was ein generischer Code von internetfähigen Webcams ist, die nicht nur mit Standard-Anmeldedaten online sind, sondern auch mit werksseitig aktiviertem Telnet. „Nach minimalen Nachforschungen hinsichtlich Standardpasswörtern für IoT-Geräte, sind [die Angreifer] in der Lage, ihren Botnetzen eine exklusive Opfergruppe hinzuzufügen“, so die Sicherheitsforscher.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Arbor Networks, IoT, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu LizardStresser-Botnetze nutzten IoT-Geräte für 400-GBit/s-DDoS-Angriffe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *