IoT-Geräte durch Mirai-Varianten stärker gefährdet

Das Internet der Dinge (auch Internet of Things oder kurz IoT) wächst und somit entwickelt die IoT-Industrie laufend neue technische Spielereien. Kein Wunder also, dass Hacker Hochkonjunktur haben. Je mehr vernetze Geräte auf den Markt kommen, desto höher die Wahrscheinlichkeit, dass Cyber-Kriminelle nach ihren Schwachstellen suchen. Dass die Gefahr für IoT-Geräte stetig steigt, haben Sicherheitsexperten jetzt bestätigt: In der ersten Hälfte des Jahres 2019 hat die Zahl der Cyber-Angriffe auf vernetzte smarte Geräte und Prozess-Steuerungen deutlich zugenommen. Eine sehr verbreitete Malware, die es auf IoT-Geräte abgesehen hat, ist das Mirai-Botnet mit seinen vielen Varianten.

Was ist Mirai-Botnet?

Mirai ist eine Art Malware, die smarte Geräte infiziert, die unter ARC-Prozessoren ausgeführt werden. Sobald ein Gerät von Mirai infiziert wurde, wird das Gerät selbst zu einem ferngesteuerten Bot und Teil eines Netzwerks (d. h. Botnet). Solche Botnets werden häufig für DDoS-Angriffe (Distributed Denial of Service) genutzt. Nach einem groß angelegten Angriff im Jahr 2016 veröffentlichten die Autoren der Malware den Quellcode von Mirai. Seitdem entwickelt sich das Botnet kontinuierlich weiter. In den letzten Jahren wurde der Quellcode unzählige Male von erfahrenen Cyber-Kriminellen sowie von unerfahrenen Hackern kopiert und verändert. Deshalb ist es so schwer, das Botnet aufzuspüren und zu zerschlagen.

Typisches Peer-to-Peer-Modell des Mirai-Botnet
Typisches Peer-to-Peer-Modell eines Botnets

Wie funktioniert das Mirai-Botnet?

Die Funktionsweise des Botnets Mirai ist einfach, aber wirksam. Mirai durchsucht das Internet nach IoT-Geräten mit einem ARC-Prozessor, auf dem eine vereinfachte Version des Betriebssystems Linux läuft. IoT-Geräte sind beispielsweise Babyfone, Netzwerk-Router, Medizin- oder Haushaltsgeräte, Rauchmelder, Überwachungskameras und sogar Fahrzeuge. Wenn das Botnet einen offenen Telnet-Port findet, für den der Standard-Benutzername und das Standard-Kennwort nicht geändert wurden, wird ein Brute-Force-Angriff versucht. Bei der Brute-Force-Methode (Englisch für „rohe Gewalt“) werden nacheinander verschiedene Kombinationen bekannter Standard-Anmeldedaten eingegeben, bis die Anmeldung klappt.

Nach einer erfolgreichen Anmeldung übermittelt Mirai die IP-Adresse und die Zugangsdaten an einen Berichtsserver. Dann werden die Daten über die Umgebung, in der das Gerät ausgeführt wird, geprüft und erfasst. Mit diesen Daten lädt Mirai weitere schädliche Nutzlasten und gerätespezifische Malware herunter.

Aviras Honeypot schnappt „Mirai Corona“

Während der Corona-Pandemie hatten offensichtlich auch Hacker mehr Zeit, um von zu Hause aus kreativ zu werden. Und anscheinend haben sie ein Faible für Ironie. Mit einem IoT-Honeypot, einem speziell für Hacker bestimmten Köder, konnte Avira überarbeitete Mirai-Varianten aufdecken. Im Code der Befehlszeichenfolge fanden die Sicherheitsexperten das Wort „CORONA“ und tauften das Botnet daher „Mirai Corona“. Diese neue Variante fiel durch einige besondere Funktionen auf: unter anderem durch eine veränderte Verschleierung der Kontrollstruktur sowie durch angepasste Verschlüsselungs- und Entschlüsselungstechniken. Eine detaillierte Analyse der Avira Protection Labs finden Sie hier (nur auf Englisch).

Wie können Sie sich gegen Mirai schützen?

Es müssen branchenweite Standards eingeführt werden, um die Sicherheit vernetzter Geräte zu verbessern. Dabei wäre es schon ein Anfang, wenn auf die vorgegebenen Standard-Anmeldedaten verzichtet werden würde. Im Kampf gegen Malware-Angriffe auf IoT-Geräte wären auch regelmäßige automatische Updates hilfreich. Mit solchen Updates könnten Sicherheitslücken geschlossen werden. Denn in der Realität übernehmen Anwender diese Aufgabe leider nicht selbst. Dessen ungeachtet sollte die Verantwortung für die Entwicklung und Bereitstellung von sicheren smarten Geräten stets bei den IoT-Anbietern und nicht beim Nutzer liegen.

Dieser Artikel ist auch verfügbar in: Englisch