Bedrohung für das IoT: Mirai-Botnets mutieren weiter

Botnets richten im Tech-Bereich weiterhin Chaos an. Die Malware, die auf der Mirai-Codebasis aufbaut, nutzt die spärliche Sicherheit des Internets der Dinge (IoT) aus. Die Mirai-Malware ist seit 2016 bekannt. Sie tauchte erstmals in einem DDoS-Angriff (Distributed Denial of Service) auf die Website des bekannten Sicherheitsexperten und Journalisten Brian Krebs auf­ – und ist immer noch aktiv. Zusätzlich ist sie (um es zeitgemäß auszudrücken) mutiert sie und hat Varianten auf wie Okiru, Satori, Masuta und PureMasuta hervorgebracht.

Alle diese Varianten haben das gleiche Ziel: die Infizierung von Hardware, Software und Kommunikationskanälen im Zusammenhang mit dem Internet der Dinge (IoT). Laut einer Analyse des Cyber-Threat-Intelligence-Unternehmens Intel471 bauen böswillige Akteure damit nicht nur große Botnetze auf. Sie stehlen auch sensible Daten von IoT-Geräten, um sie auf dem Schwarzmarkt zu verkaufen. Die Ziele der Akteure liegen dabei vor allem in Europa und Nordamerika. Sie verkaufen auch den Zugang zu diesen IoT-Botnetzen aus dem Mirai-Code und bilden so ihr eigenes Ökosystem.

In den Jahren 2020 und 2021 hat Intel471 eine Zunahme der Angriffe auf IoT-Geräte beobachtet. Viele von Mirai abgeleitete Botnets, wie BotenaGo, Echobot, Gafgyt, Loli, Moonet, Mozi und Zeroshell, waren seit Beginn der COVID-19-Pandemie Anfang 2020 aktiv. Im Jahr 2021 haben sie sich zusätzlich weiterentwickelt. Der FortiGuard Labs Global Threat Landscape Report hebt hervor, dass der Prozentsatz der Unternehmen, die Botnet-Aktivitäten entdeckt haben, von 35 % Anfang 2021 auf 51 % Mitte letzten Jahres angestiegen ist. Da auch die Gesamtzahl der angeschlossenen IoT-Geräte weltweit von Jahr zu Jahr steigen dürfte, wird die Angriffsfläche für diese Botnets proportional zunehmen – und damit auch die Risiken eines Eindringens.

Um Schädlinge wie Mirai zu bekämpfen, empfiehlt Intel 471 die Implementierung von Prozessen zur Überwachung von IoT-Geräten. Auch die häufige Durchführung von Cybersicherheitsaudits, der routinemäßige Wechsel von Anmeldedaten und Schlüsseln sowie die Einhaltung von Patching-Zyklen werden in ihrer Wichtigkeit betont.

Wachstum ohne Sicherheit

Die Anbieter verschiedener Klassen von IoT-Geräten fügen zunehmend Online-Funktionen hinzu. Werden diese nicht ordnungsgemäß verwaltet und aktualisiert, bilden sie Schwachstellen – und können somit Angreifern Tür und Tor öffnen.

Um nur einen Bereich zu nennen: Laut einem Bericht von Cynerio weisen 53 % der angeschlossenen medizinischen Instrumente und IoT-Geräte im Gesundheitsbereich kritische Schwachstellen auf. In der Studie wurden Daten von mehr als 10 Millionen IoT- und IoMT-Geräten in mehr als 300 Krankenhäusern und Gesundheitseinrichtungen weltweit ausgewertet.

Die Infusionspumpe ist die häufigste Art von vernetzten Geräten in Krankenhäusern. Sie ist in der Lage, sich per Fernzugriff mit elektronischen Krankenakten zu verbinden und die korrekte Medikamentendosierung für den Patienten zu ermitteln. Daher ist sie, sobald sie dafür anfällig ist, auch das Gerät, das am ehesten von Botnet-Angriffen betroffen ist.

Schwachstellen in IoT-Geräten ­– und damit verbundene Botnet-Angriffe ­– tauchen auch in verschiedenen Bereichen außerhalb des medizinischen Umfelds auf. Das liegt daran, dass sie häufig in Betriebssystemen zu finden sind, die im Internet der Dinge weit verbreitet sind. Eines der wichtigsten Open-Source-Systeme für IoT-Geräte ist dabei Linux. Die Klasse der Malware, die auf dieses System abzielt, erreichte im Jahr 2021 ein neues Rekordhoch. Laut einem Crowdstrike-Bericht stieg die Zahl der Angriffe im Vergleich zu 2020 um 35 %.

Es wird erwartet, dass diese Zunahme von Angriffen auf das Internet der Dinge den globalen IoT-Sicherheitsmarkt weiter vorantreiben wird. Parallel erweitern sich vermutlich auch die Bestimmungen zur Abwehr von Bedrohungen für Unternehmen und Staaten. Laut einer Analyse von Emergen Research wird der globale IoT-Sicherheitsmarkt zwischen 2020 und 2028 eine durchschnittliche jährliche Wachstumsrate von 26,7 % aufweisen. Bis zum Ende dieses Zeitraumes soll er einen Wert von 88 Millionen US-Dollar erreichen.

Doch zurück zum Journalisten Brian Krebs, der Opfer der ersten Mirai-Malware wurde: Im September 2021 wurde seine Website erneut von einem DDoS-Angriff heimgesucht. Dieser war nochmals größer als die Mirai-Version von 2016 und hielt KrebsOnSecurity fast vier Tage lang offline. Der Angriff im Jahr 2021 wurde offenbar fast ausschließlich von einem großen Botnetz aus gehackten IoT-Geräten durchgeführt. Die Moral von der Geschichte: Halten Sie die Augen offen, denn Ihr IoT-Gerät könnte das neueste Mitglied einer Cybergang sein.

Wie Sie sich vor Mirai schützen können

Wie auch andere Botnets nutzt Mirai verbreitete Schwachstellen, um Geräte anzugreifen und zu kompromittieren. Außerdem versucht es, bekannte Standard-Anmeldedaten zu verwenden, um auf dem Gerät zu arbeiten und es zu übernehmen. Die drei besten Schutzmaßnahmen gegen Mirai sind also ganz einfach umsetzbar.

Aktualisieren Sie stets die Firmware (und Software) aller Geräte, die Sie zu Hause oder am Arbeitsplatz haben und die mit dem Internet verbunden werden können. Hacken ist ein Katz- und Mausspiel: Sobald ein Forscher eine neue Schwachstelle entdeckt, folgen Patches, um das Problem zu beheben. Botnets gedeihen auf ungepatchten Geräten – und die Mirai-Varianten sind nicht anders.

Ändern Sie die Administrator-Anmeldedaten Ihrer Geräte (Benutzername und Kennwort) so bald wie möglich. Bei Routern können Sie dies über die Weboberfläche des Routers oder über die mobile App (falls vorhanden) tun. Bei anderen Geräten, bei denen Sie sich mit dem Standard-Benutzernamen oder -Passwort anmelden, ziehen Sie das Handbuch des Geräts zurate.

Wenn Sie sich als Admin, mit einem Passwort oder einem leeren Feld anmelden können, müssen Sie dies ändern. Stellen Sie sicher, dass Sie die Standard-Anmeldedaten jedes Mal ändern, wenn Sie ein neues Gerät einrichten. Wenn Sie bereits Geräte konfiguriert und das Kennwort nicht geändert haben, sollten Sie dies nachträglich tun. Diese neue Variante von Mirai zielt auf neue Kombinationen von Standardbenutzernamen und -kennwörtern ab.

Wenn Ihr Gerätehersteller keine neuen Firmware-Updates mehr herausgibt oder die Administrator-Anmeldeinformationen verschlüsselt hat und Sie sie nicht ändern können, sollten Sie das Gerät austauschen.

Bestenfalls überprüfen Sie das auf der Website des Herstellers. Suchen Sie die Support-Seite für Ihr Gerät und halten Sie Ausschau nach Hinweisen auf Firmware-Updates. Prüfen Sie, wann das letzte Update veröffentlicht wurde. Wenn seit einer Firmware-Aktualisierung bereits Jahre vergangen sind, unterstützt der Hersteller das Gerät wahrscheinlich nicht mehr.

Auf der Support-Website des Geräteherstellers finden Sie außerdem Anweisungen zum Ändern der Administrator-Anmeldeinformationen. Wenn Sie keine aktuellen Firmware-Updates oder eine Methode zum Ändern des Gerätekennworts finden können, ist es wahrscheinlich an der Zeit, das Gerät zu ersetzen. Sie wollen doch nicht, dass eine so anfällige Komponente dauerhaft mit Ihrem Netzwerk verbunden ist, oder?