Zerobot-Malware-Update greift IoT-Geräte an

Ende 2023 wurde ein verheerendes Botnet-Update identifiziert: Es nutzt Schwachstellen von Internet-of-Things-Geräten (IoT) aus, um die Kontrolle über angegriffene Systeme zu erlangen. Initial hat FortiGuard Labs die Zerobot-Malware entdeckt. Seitdem steht das Update unter Beobachtung des Microsoft Defender-Forschungsteams, das mittlerweile mehrfache Aktualisierungen feststellen konnte: Die Version Zerobot 1.1 enthält neue DDoS-Angriffstools (Distributed Denial of Service, also Datenverkehrsüberflutung) sowie weitreichende Funktionen, die gezielt Schwachstellen bei noch mehr Systemen ausnutzen können.

Zerobot ist in der Sprache Go geschrieben und umfasst mehrere Module, wie z. B. Selbstreplikation, Selbstvermehrung und ein Modul, das sich auf Angriffe mit verschiedenen Protokollen konzentriert. Nach Angaben von Microsoft wurde eine Domain mit Links zu Zerobot identifiziert, die DDoS-For-Hire-Services in Verbindung stehen, welche bereits im Dezember 2022 vom FBI beschlagnahmt wurde. Microsoft verfolgte sogar Werbeanzeigen des Zerobot-Botnetzes in sozialen Netzwerken: Angeboten wurden der Verkauf und die Wartung der Malware. Zudem bewarb man die Entwicklung neuer Funktionen. Das Unternehmen verfolgt diese Aktivitäten mit der Identifikationsnummer DEV-1061.

Welche Folgen hat nun ein Maleware-Befall? Die Zerobot 1.1-Distribution kann Schwachstellen in Apache und Apache Spark sowie in MiniDVBLinux DVR, Grandstream und Roxy-WI GUI-Systemen ausnutzen. Darüber hinaus bringt sie Tools zur Durchführung von DDoS-Angriffen mit. Diese neuen Funktionen erlauben es, bestimmte Ressourcen anzugreifen und für den User unzugänglich zu machen. DDoS-Angriffe stehen häufig mit Lösegeldforderungen in Verbindung. Die Crux bei der Sache: Diese Erpressungsversuche lenken die Aufmerksamkeit von anderen bösartigen Aktivitäten ab und können zudem den laufenden Betrieb massiv stören. Die nachfolgende Übersicht zeigt auf, welche bislang bekannten Wege Zerobot zum Starten von DDoS-Angriffen verwendet – wie z. B. das Senden von UDP- und TCP-Paketen mit anpassbaren Nutzdaten:

Das Zerobot-Botnet befällt diverse Geräte, darunter Firewalls, Router und Kameras, und bündelt sie zu einem DDoS-Botnet (Distributed Denial of Service). Es kann mögliche Einfallsstellen auf verschiedenen Architekturen, Betriebssystemen und Protokollen infizieren.

Da sie nahezu immer mit dem Internet verbunden sind und häufig über ungepatchte und schlecht gesicherte Systeme verfügen, sind IoT-Geräte präferierte Ziele für Zerobot-Malware. Sie verbreitet sich über IoT-Routen durch Brute-Force-Angriffe auf Geräte mit unsicheren Konfigurationen, indem sie Standard- oder schwachen Anmeldedaten verwendet. Die Malware versucht dabei, durch eine Kombination aus acht gängigen Benutzernamen und 130 Passwörtern für IoT-Geräte Zugriff auf die Devices zu erhalten.

Microsoft-Forscher identifizierten mehrere Versuche, SSH- und Telnet-Verbindungen über die Standard-Ports 22 und 23 sowie die Ports 80, 8080, 8888 und 2323 zu öffnen.

Um Zugriff auf Geräte zu bekommen, schreibt die Zerobot-Malware ein Skript namens zero.sh, das den Schadcode der Malware für eine bestimmte Architektur herunterlädt – und dann versucht auszuführen. Auch denkbar ist der Versuch, verschiedene Binärdateien herunterzuladen und die Architektur mit Brute-Force zu identifizieren, da IoT-Geräte oft Verarbeitungseinheiten von verschiedenen Plattformen verwenden. Microsoft hat Skripte für Architekturen wie ARM64, MIPS und x86_64 beobachtet. Je nach Betriebssystem der Geräte verwendet die Malware andere Persistenzmechanismen und Taktiken, um die Zugriffskontrolle zu erlangen und im Anschluss aufrechtzuerhalten.

Was ist ein IoT-Botnet?

Ein IoT-Botnet ist ein Netzwerk von Geräten, die mit dem Internet der Dinge (IoT) verbunden sind und mit Malware (insbesondere IoT-Botnet-Malware) infiziert wurden, nachdem sie in die Hände von böswilligen Akteuren gefallen sind. Oft starten Botnets DDoS-Angriffe (Distributed Denial of Service) und werben in Untergrundforen, wodurch sie für Cyberkriminelle leicht zugänglich sind.

In der Regel werden sie von einem einzigen Command and Control (C&C)-Server gesteuert, der mit infizierten Geräten, den so genannten „Bots“, verbunden ist. Einige Botnets verzichten jedoch auf den C&C-Server und nutzen Peer-to-Peer-Netzwerke (P2P), wodurch es schwieriger wird, sie auszuschalten. Diese potenzielle Bedrohung wurde bereits Realität: Bis dato wurden fünf Familien von IoT-P2P-Botnets identifiziert – Watch, Hajime, Hide ‘n’ Seek (HNS), Mozi und HEH.

Trend Micro hat drei Haupt-Malware-Codes identifiziert, die in IoT-Botnets verwendet werden und deren Merkmale ihre Natur und ihre typische Funktionsweise verdeutlichen. In der Regel handelt es sich dabei um Open-Source-Code, um die Varianten-Generierung zu erleichtern. Diese drei Klassen von Malware sind:

• Kaiten – Auch Tsunami genannt: Er ist der am wenigsten bekannte der drei Codes. Obwohl er 2001 veröffentlicht wurde, ist er nach wie vor bei Cyberkriminellen und Skript-Kiddies (technisch unbedarfte Personen, die Skripts von Drittanbietern verwenden) beliebt. Der Kaiten-Code verbreitet sich über Telnet-Dienste mit geradezu roher Gewalt. Die neueren Varianten verfügen über eine Bot-Killing-Funktion, die frühere Befälle beseitigt.

• Qbot – Dieser Malware-Code für IoT-Botnets ist etwas neuer als Kaiten (er erschien 2008) und noch immer bei Cyberkriminellen beliebt. Bashlite, Gafgyt, Lizkebab oder Torlus: So lauten weitere bekannte Namen für die Maleware. Ihre Varianten verfügen ebenfalls über eine Funktion zur Eliminierung früherer Bots.

• Mirai – Er ist der bekannteste Code unter den dreien und noch verhältnismäßig jung: Erschienen im Jahr 2016 wurde er als DDoS-Tool für den Verkauf und hauptsächlich für Gamer entwickelt. Einige Varianten können ältere Infektionen löschen und Geräte vollständig monopolisieren.

Interessant: Die genannte Funktion zur Beseitigung von bestehenden Malware-Befällen deutet auf eine potenzielle Fehde zwischen den verschiedenen Entwicklern von Malware-Codes für IoT-Botnets hin. Das ist sicherlich nicht unerheblich – viel gewichtiger zeigt sich jedoch der Fakt, dass Cyberkriminelle den Fokus auf das Internet der Dinge legen. Mit einer ständig wachsenden Zahl von Usern gehören zu den potenziellen Opfern nicht nur Privathaushalte, sondern auch große Organisationen und wichtige Dienste aus relevanten Branchen, wie beispielsweise dem Gesundheitssektor.