Mirai, die größte DDoS-Attacke aller Zeiten, nutzte IP-Kameras

Trojaner-Info.de berichtete in der letzten Woche über einen Meilenstein der Cyber Security-Geschichte: Ein Botnet namens Mirai benutzte erstmals im größeren Umfang digital vernetzte Gegenstände aus dem Internet der Dinge (Internet of Things, kurz IoT), um DDoS-Angriffe zu fahren und startete hierüber die größte, jemals gemessenen DDoS-Attacke mit Stärken um die 1 Tbit/s. Brian Krebs, der mit seinem Security Blog angegriffen wurde, wies kürzlich darauf hin, dass die Quellcodes in einigen „Untergrund-Foren“ frei verfügbar seien (mehr).

Hardware mit Sicherheitslücken nun bekannt!

Es war nicht damit zu rechnen, dass jetzt die kompletten Codes auftauchen — sie wurden von einem User unter dem Pseudonym "Anna-senpai" veröffentlicht. Der User begleited sein Posting mit der triumphierenden Bemerkung, dass die DDoS-Schadcodes ihren Dienst monetär erfolgreich geleistet hätten. Sicherheitsunternehmen haben jetzt gute Voraussetzungen, um Gegenprogramme für die Business Security zu entwickeln — es ist jedoch davon auszugehen, dass die Gegenseite nicht schläft und entsprechende Abkömmlinge für neue Botnetze entwickelt. In den Quellcodes sind auch die Zugangsdaten zu denjenigen Geräten enthalten, über denen die Angriffe auf den Krebs-Blog erfolgten. Die Informationen lassen Rückschlüsse auf die Strategie der DDoS-Attacken zu.

Die Malware suchte anscheinend im Netz systematisch nach Geräten, die mit Standardeinstellungen aus Nutzername und Passwort sowie ohne Firewallschutz betrieben werden. Sie nutzt Malwaretech zufolge einen Fehler in der Busybox aus, und versucht dann, alle Prozesse auf den Ports 22, 23 und 80 zu blockieren. Der Angriff wird dann via Syn-Flood und HTTP-Get-Requests initiiert. Die Geräte folgender Hersteller von IP-Kameras sollen betroffen sein: Dahua, Hisilicon, Mobotix, Shenzhen Anran Security Camera und Toshiba. Darüber hinaus sollten auch Router von ZTE und Realtek sowie Xerox-Drucker entsprechende Sicherheitslücken besitzen.