Die Sicherheitsexperten schlagen Alarm. Noch ist Reaper in der Wachstumsphase, sammelt in unglaublicher Geschwindigkeit Botnets und führt vorerst noch keine Angriffe durch. Sie sehen es als Ruhe vor dem Cybersturm. Die Ruhe ist natürlich trügerisch. Der Reaper Wurm verbreitet sich automatisch von einem anfälligen Gerät zum nächsten. Dabei scannt er das Internet in sehr zurückhaltender Weise und sucht nach Schwachstellen in Geräten. Dann hackt Reaper sich quasi mit echten Software-Hackingtechniken in die Geräte ein.

Etwas verwirrend ist, dass die Sicherheitsforscher schon so viel über Reaper wissen, und dem Wurm trotzdem machtlos bei der Verbreitung zuschauen müssen. Sie wissen, dass er sich auf den Mirai Quellcode aufbaut und sogar ganz gut mit ihm im Netz co-existiert. Mirai schlummert ja weiterhin immer noch in vielen Geräten. Reaper aber, wird ständig weiterentwickelt, neue Funktionen und Verbreitungsmecfor i in $(ls -1 *.jpg); do \
echo $i; file=`echo $i | sed s/jpg$/-2.jpg/`; \
convert -quality 75 $i[800×800] $file; \
mv $file $i; \
done
hanismen werden hinzugefügt. Allerdings gibt es Unterschiede in einigen der wichtigsten Verhaltensweisen. Reaper kann neue Geräte viel heimlicher übernehmen und bleibt dabei so gut wie unentdeckt von der IT-Sicherheit, die typischerweise nach solchen verdächtigen Aktivitäten scannen.

Diese Art des Ausnutzens anderer Malware ist nicht neu. Auch Mirai vereinnahmte die schon vorher vorhandene Qbot Malware zu seinen Zwecken. Reaper verlässt sich nicht auf einen Telnet-Scanner wie Mirai. Er nutzt Schwachstellen aus, um ungepatchte Geräte zu übernehmen und sie zu seiner Command & Control-Infrastruktur (C&C) hinzuzufügen. Qihoo 360 Netlab teilt noch mehr Besorgniserregendes mit. Es hätte schon über zwei Millionen infizierter Geräte beobachten können, die in der Warteschlange des Botnet-C&C-Servers sitzen und nur darauf warten, verarbeitet zu werden. An einem Tag kontrollierte ein einiziger der C&C-Server alleine über 10.000 Bots. Qihoo 360 Netlab hat auch herausgefunden, dass Reaper mit einer in die Malware integrierten Lua-basierten Ausführungsumgebung ausgestattet ist. Sie ermöglicht es dem Betreiber, Module für verschiedene Aufgaben wie DDoS-Angriffe, Traffic-Proxying und andere Vorgänge bereitzustellen.

Was Nutzer tun können

Da sich das Botnetz laut den Forschern hauptsächlich aus IP-basierten Sicherheitskameras, Netzwerkvideorekordern und digitalen Videorekordern zusammensetzt, sind sie Reapers Ziele. Allerdings sind nicht die Besitzer der von Reaper infizierten Maschinen die wirklichen Opfer. Sie sind nur Werkzeuge für DDoS-Angriffe auf andere Ziele. Ein Grund, warum solche IoT-Geräte von Würmern wie Reaper und Mirai ausgenutzt werden, liegt an ihren Sicherheitsupdates. Experten bemängeln immer noch den schwachen Sicherheitsstandard und die unzureichenden Updates der Firmeware.

Ersteres ist ein generelles Problem der Industrie. Letzteres liegt oft daran, dass es nicht einfach ist, die Besitzer zu benachrichtigen. Jeder Besitzer eines solchen Gerätes müsste sich selbst regelmäßig online über Updates informieren. Falls sie es tun, sind solche Updates aber leider nicht sehr anwenderfreundlich.

Schlimmstenfalls wird die gesamte Firmware des Geräts beeinflusst. Experten schlagen Nutzern vor, dass sie eine Analyse des IP-Datenverkehrs dieser Geräte vornehmen sollten. Dann würden sie erkennen können, ob sie mit dem C&C-Server der Hacker kommunizieren. Es gibt aber sicher nicht viele Verbraucher, die überhaupt wissen, wie das bewerkstelligt wird.

Sicherheitsexperten wie Dr. Johannes Ullrich sind der Ansicht, dass Botnetze wie „Mirai“ nur der Anfang waren. Hacker haben herausgefunden, dass es in diesen IoT-Geräten viele ungepatchte Sicherheitslücken gibt, mit denen Code auf den Geräten ausgeführt werden kann. Und das, selbst wenn das Passwort dafür nicht bekannt ist. Die Gerätebesitzer haben sehr wenig Hoffnung, diese Sicherheitslücken zu mindern, wenn kein Patch zur Verfügung gestellt wird. Und bisherige Erfahrungen haben gezeigt, dass sowieso fast niemand IoT-Geräte patcht. Anders als bei Desktops (Windows) reduziert die Veröffentlichung eines Patches die Anzahl anfälliger Systeme nicht wesentlich.

Siehe auch:

• Bond007.01 – Botnet mit nicht so guter Mission
• TeleBots-Gruppe – Angriff auf russisches Finanzsystem über private Botnets
• Neue Cyber-Masche: Mit Botnets und etwas Geduld an Passwörter kommen
• ZeroAccess Botnetz wieder aktiv
• BrutPOS-Botnet
• Facebook und griechische Behörden legen gemeinsam Lecpetex-Botnet lahm
• Botnet der Malware Nemanja betrifft eine halbe Million Bezahlkarten weltweit
• Android-Botnet zielt auf Kunden in Nahost ab

Artikel von krebsonsecurity.com, 23.10.2017: Reaper: Calm Before the IoT Security Storm?
Artikel von bleepingcomputer.com, 20.10.2017: A Gigantic IoT Botnet Has Grown in the Shadows in the Past Month
Artikel von wired.com 20.10.2017: The Reaper IoT Botnet Has Already Infected a Million Networks

Urheberrechte Beitragsbild: 123rf.com