LizardStresser-Botnetze nutzten IoT-Geräte für 400-GBit/s-DDoS-Angriffe

Das von Cyberkriminellen für DDoS-Angriffe verwendete Botnetz LizardStresser erlebt derzeit seinen zweiten Frühling. Wie Sicherheitsforscher von Arbor Networks‘ ASERT Group festgestellt haben, macht es sich die stetig wachsende Zahl von IoT-Geräten zunutze, um seine Struktur zu stärken und groß angelegte Angriffe mit einem Durchsatz von bis zu 400 GBit/s auf weltweite Spiele-Websites, brasilianische Finanzinstitute, Internet Service Provider und Regierungseinrichtungen zu fahren.

Ursprünglich war das von der berüchtigten Hackergruppe Lizard Squad geschaffene Distributed-Denial-of-Service-Tool für Angriffe auf Online-Medien und Regierungsbehörden genutzt worden. Wie alle Botnetze besteht es aus Kontrollservern und zahlreichen kompromittierten Slave-Systemen mit denen Domains mit Anfragen überflutet werden, sodass die auf ihnen gehosteten Dienste gestört werden.

2015 wurde der Quellcode des Botnetzes öffentlich, was Kriminellen die Möglichkeit gab, eigene Rechnerverbunde auf Basis des LizardStresser-Frameworks aufzubauen. Seitdem hat sich die Zahl der Command-and-Control-Server (C&C-Server) laut Arbor stetig erhöht. Einige davon griffen vor allem auf IoT-Geräte zu, die oft nur unzureichend geschützt sind, darunter WLAN-fähige Kameras, Überwachungssysteme, Lichtsysteme oder sogar Kühlschränke.

Das in C geschriebene und für Linux-Systeme designte Botnetz lässt sich sehr einfach kompilieren, ausführen und an Architekturen wie x86, ARM sowie MIPS anpassen, welche die häufigsten Plattformen für vernetzte Geräte darstellen. Die Versionen, die auf IoT-Produkte abzielen, versuchen via Telnet mittels Brute-Force-Methoden sich an zufälligen IP-Adressen mit fest kodierten Listen von Nutzerzugangsdaten anzumelden. Ein IoT-Gerät, bei dem sich die fest kodierten Anmeldedaten nicht wechseln lassen oder bei dem der Nutzer eine manuelle Änderung versäumt hat, laufen so Gefahr, zu einem Botnetz-Slave zu werden.

„Im Fall von DDoS-Malware ist der Wert des Opfers, wieviel Bandbreite es zum Angriffsdatenverkehr beitragen kann“, erklärt Arbor. „Wenn eine Maschine bereits kompromittiert wurde, wird seine Bandbreite wahrscheinlich missbraucht. Der Angreifer kann versuchen, konkurrierende Malware zu entfernen, aber das ist zeit- und arbeitsaufwendig.“

Das ASERT-Team hat zwei LizardStresser-Botnetze näher untersucht, die wahrscheinlich von einer einzelnen Gruppe aufgesetzt wurden. In ihrem Fokus stehen Ziele in Brasilien und Gaming-Dienste. Die beiden Botnetze haben in diesem Jahr bereits Angriffe auf mehrere Ziele gestartet, einen davon mit einer Gesamtstärke von mehr als 400 GBit/s Durchsatz, ausgehend von tausenden Quelladressen.

Bisher von diesen DDoS-Attacken betroffen waren zwei brasilianische Banken, zwei brasilianische Telekommunikationsanbieter, zwei brasilianische Regierungsbehörden und drei große Spielefirmen in den Vereinigten Staaten. Der Traffic stammte hauptsächlich aus Vietnam und Brasilien.

Das ASERT-Team stellte fest, dass fast 90 Prozent der beteiligten Hosts im Slave-Netzwerk den HTML-Titel „NETSurveillance WEB“ trugen, was ein generischer Code von internetfähigen Webcams ist, die nicht nur mit Standard-Anmeldedaten online sind, sondern auch mit werksseitig aktiviertem Telnet. „Nach minimalen Nachforschungen hinsichtlich Standardpasswörtern für IoT-Geräte, sind [die Angreifer] in der Lage, ihren Botnetzen eine exklusive Opfergruppe hinzuzufügen“, so die Sicherheitsforscher.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.