Trend Micro warnt vor Botnet Persirai
Das Internet of Things – IoT- ist der neue Spielplatz der Cyberkriminellen. Die Hersteller erschaffen eine vernetzte Welt aus Geräten des täglichen Bedarfs und Hacker nutzen sie für kriminelle Zwecke aus. Trotz Warnungen von Sicherheitsforschern versäumen die Hersteller es immer noch, die Geräte vor Manipulationen zu schütze, da sie sich im Irrglauben befinden, dafür seien die Netzbetreiber und Hortes zuständig.
Die Hacker kümmert das wenig. Nach den IoT-Botnetzen Mirai und Hajime enttarnte die Sicherheitsforscher von Trend Micro nun ein weiteres Botnetz namens Persirai, das auf der gleichnamigen Malware aufgebaut ist. Alle drei Botnetze ähneln sich und werden für DDoS Angriffe genutzt. Bei Persirai ist es eine Sicherheitslücke in rund 1000 IP-Kameras.
Ohne Anmeldung in die Software
Da die Sicherheitslücke wirklich relevant ist, können die Hacker unproblematisch und ohne Anmeldedaten auf das Web-Interface der Kameras zugreifen und dort eingeschleuste Schadcodes ausführen. Pierre Kim hat Persirai schon zu Beginn des Monats März identifiziert und festgestellt, dass die lückenhafte Software in rund 1000 unterschiedlichen IP-Kamera-Modellen verwendet wird. Nach Schätzungen von Trend Micro sind mindestens 120.000 Kameras verkauft.. Kunden in China und Thailand, den USA, Mexiko, Brasilien, Südkorea, Japan, Großbritannien und Italien nutzen diese Kameras. Nach erfolgreichem Einschleusen bleibt die Malware Persirai versteckt im Arbeitsspeicher und kann auch von Experten nur schwer erkannt und extrahiert werden.
Die Kameras selbst werden von den Hackern blockiert, sodass Gegenwehr kaum möglich ist. Nur ein Neustart der Kameras kann eine Attacke beenden – doch die Kamera ist trotzdem weiterhin angreifbar. Die Hacker benutzen die Top Level Domain „IR“. Bemerkenswert ist, dass diese TLD nur an ausgewählte iranische Personen ausgegeben wurde. Der Code selbst enthält persische Schriftzeichen, die namensgebend für die Malware waren. Ob das Botnet schlussendlich wirklich aus dem Iran stammt, ist zu diesem Zeitpunkt allerdings noch nicht ausreichend belegt.