Digital Life
07.04.2017

Malware macht vernetzte Geräte unbrauchbar

Die kürzlich entdeckte Malware BrickerBot attackiert vernetzte Geräte wie Webcams oder Router und macht diese permanent unbrauchbar.

Das IT-Sicherheitsunternehmen Radware hat im Netz neue Malware entdeckt, die das Internet der Dinge angreift. Der auf den Namen BrickerBot getaufte Schadcode kommt in zwei verschiedenen Varianten und greift vernetzte Geräte an, auf denen Linux BusyBox läuft, wie BleepingComputer berichtet. BrickerBot sucht nach offenen Telnet-Ports auf am Netz hängenden Geräten und versucht dann anhand bekannter Standard-Login-Daten Zugriff auf die Software zu bekommen. Gelingt das, führt die Malware einige Kommandozeilen-Befehle aus, die den Kernel korumpieren und den Speicher mit wahllosen Daten überschreiben, um ihn unbrauchbar zu machen. Schützen können sich Besitzer solcher Geräte, indem Sie die Standard-Logindaten möglichst sofort ändern.

Die beiden Varianten der Software, die Radware mithilge eines sogenannten Honigtopfs - das ist ein vorsätzlich unsicheres Gerät, mit dem Hacker angelockt werden sollen - gefunden hat, unterscheiden sich in den Befehlen, die auf den befallenen Geräten ausgeführt werden. Das Ergebnis ist aber in beiden Fällen identisch: Der Flash-Speicher wird überschrieben, die Internetverbindung wird durch Deaktivieren der TCP-Zeitstempel verlangsamt, der Kernel wird unbrauchbar gemacht, indem die Zahl der Threads auf eins gesetzt wird und das Gerät wird anschließend neu gestartet.

Phlashing

Befallene Geräte werden so innerhalb von Sekunden unbrauchbar. Diese Strategie wird "Permanent Denial of Service"-Attacke oder "Phlashing" genannt. Radware konnte in einem Zeitraum von vier Tagen 1895 versuchte Angriffe dieser Art nachweisen. Die Brickerbot-Varianten werden laut den Experten über zwei Wege verteilt. Brickerbot.1 wird von verschiedenen IP-Adressen auf der ganzen Welt verschickt, die laut den Experten Netzwerk-Hardware mit veralteteter Software zugeordnet werden können. Brickerbot.2-Angriffe werden über das Tor-Netzwerk geführt und sind deshalb nicht zu ihrem Ursprung zurückverfolgbar.

Wenn ein Gerät befallen ist, kann es nicht mehr in Betrieb genommen werden. Eine Neuinstallation der Firmaware kann helfen, in manchen Fällen müssen die betroffenen Besitzer aber wohl ein neues Gerät kaufen. Im Gegensatz zu anderer Malware, die für das Internet der Dinge geschrieben wurde, haben die Angreifer keinen finanziellen Gewinn durch die Verbreitung der Malware. Es werden keine Botnetze aufgebaut, sondern einfach nur Geräte unbrauchbar gemacht. Das könnte ein Hinweis darauf sein, dass die Verantwortlichen nicht durch Geld motiviert sind, sondern mit dem Vorschlaghammer auf Sicherhetslücken in den angreifbaren Geräten aufmerksam machen wollen.

Sollte das der Fall sein, haben die Hintermänner einen verantwortungslosen Weg gewählt, wie Fachleute kritisieren. Der Sicherheitsexperte Victor Gevers gibt gegenüber BleepingComputer zu bedenken, dass etwa die Deaktivierung einer Sicherheitskamera an einer Botschaft als aggressiver Akt gegen das betroffene Land gewertet werden könnte. Er fordert die Entwickler von BrickerBot auf, mit Sicherheitsfachleuten zu kooperieren: "Statt Geräte zu bricken, könntet ihr die Geräte intakt lassen und die Sicherheitslücke schließen. Das erfordert mehr Finesse."