Mirai-Malware zielt auf Linux-Server und IoT-Geräte
Forscher von Unit 42 entdeckten "Mirai v3g4", eine neue Variante des Mirai-Botnetzes, die auf 13 ungepatchte Schwachstellen in Geräten des Internets der Dinge (IoT) abzielt. Die Schwachstellen wurden in einer Vielzahl von Geräten entdeckt, darunter Router, Kameras und NAS-Geräte (Network-Attached Storage), und sie könnten es Hackern ermöglichen, die Kontrolle über sie zu übernehmen und sie böswillig zu nutzen.
Man geht davon aus, dass Zehntausende von Geräten, vor allem in den Vereinigten Staaten und Europa, von dem neuen Botnet infiziert wurden. Um die Schwachstellen auszunutzen, verwendet es eine Mischung aus bekannten und neuen Sicherheitslücken, von denen einige bereits seit mehreren Jahren bekannt sind. Dies deutet darauf hin, dass viele Nutzer grundlegende Sicherheitsvorkehrungen wie die Aktualisierung ihrer Geräte und die Änderung der Standardkennwörter nicht treffen.
Sobald die anfälligen Geräte durch die als V3G4 bekannte Variante kompromittiert wurden, können sie vollständig von Angreifern kontrolliert werden und Teil eines Botnetzes werden, das in der Lage ist, zusätzliche Kampagnen wie DDoS-Angriffe durchzuführen.
"V3G4 hat sein wichtigstes Merkmal von der ursprünglichen Mirai-Variante geerbt - einen Datenbereich mit eingebetteten Standard-Anmeldedaten für den Scanner und Brute-Force-Zwecke", so die Forscher. "Wie der ursprüngliche Mirai verschlüsselt auch er alle Anmeldedaten mit dem XOR-Schlüssel 0x37, sagt Unit 42."
"Die Schwachstellen haben eine geringere Angriffskomplexität als zuvor beobachtete Varianten, aber sie haben weiterhin kritische Sicherheitsauswirkungen, die zur Remotecodeausführung führen können", so Unit 42.
Während die meisten Mirai-Varianten denselben Schlüssel für die String-Verschlüsselung verwenden, nutzt die V3G4-Variante nach Angaben des Forschers verschiedene XOR-Verschlüsselungsschlüssel für unterschiedliche Szenarien (XOR ist eine boolesche Logikoperation, die häufig in der Verschlüsselung verwendet wird).
V3G4 verfügt über eine Reihe von Standard- oder schwachen Anmeldedaten, mit denen er Brute-Force-Angriffe über die Netzwerkprotokolle Telnet und SSH startet und auf andere Rechner überträgt. Danach verbindet er sich mit dem C2-Server und wartet auf Befehle, um DDoS-Angriffe gegen Ziele zu starten, so Unit 42.
V3G4 nutzte Schwachstellen im FreePBX-Verwaltungstool für Asterisk-Kommunikationsserver (Schwachstelle CVE-2012-4869), in Atlassian Confluence (Schwachstelle CVE-2022-26134), im Systemadministrationstool Webmin (CVE-2019-15107), in DrayTek Vigor-Routern (CVE-2020-8515 und CVE-2020-15415) und im C-Data Web Management System (CVE-2022-4257) aus.
Eines der bekanntesten Beispiele für IoT-basierte Angriffe ist das Mirai-Botnet. Es tauchte erstmals 2016 auf und war seither für eine Reihe aufsehenerregender Angriffe verantwortlich, darunter der Cyberangriff auf Dyn im Jahr 2016, der zu erheblichen Unterbrechungen der Website führte. Das Botnet scannt das Internet nach anfälligen Geräten und setzt diese dann für DDoS-Angriffe oder andere bösartige Aktivitäten ein.
Die Entdeckung einer neuen Mirai-Variante verdeutlicht die anhaltende Bedrohung durch Angriffe aus dem Internet der Dinge. Mit der wachsenden Zahl von IoT-Geräten steigt auch das Risiko, dass diese Geräte von Hackern kompromittiert werden. Um dieses Risiko zu verringern, sollten die Nutzer grundlegende Sicherheitsvorkehrungen treffen, z. B. ihre Geräte aktualisieren, sichere Passwörter verwenden und den Netzwerkzugang einschränken. Um potenzielle Angriffe zu erkennen und darauf zu reagieren, sollten sie auch den Einsatz von Sicherheitssoftware und Überwachungstools in Betracht ziehen.
Zu den Quellen für diesen Beitrag gehört ein Artikel im SCMagazine.