Infizierten IoT-Geräten im Anonymitätsdienst

Inhaltsverzeichnis

Tausende von infizierten IoT-Geräten im gewinnorientierten Anonymitätsdienst

Interplanetary Storm verwendet P2P-Netzwerke, hauptsächlich auf IoT-Geräten mit Android.

Etwa 9000 Geräte größtenteils mit den Betriebssystemen Android, Linux und Darwin wurden in dem sogenannten „Interplanetary Storm“(der Name eines Botnetzes, dessen Hauptzweck die Schaffung eines gewinnorientierten Proxy-Dienstes ist) eingebunden, welcher vermutlich anonym im Internet zur Verfügung gestellt werden soll.

Basis sind gesammelte Beweisstücken von Forschern

Der Befund basiert auf mehreren Beweisstücken, die von Forschern des Sicherheitsanbieters „Bitdefender“ gesammelt wurden. Das Kernstück des Beweismaterials ist eine Reihe von sechs spezialisierten Knotenpunkten, welche Teil der Verwaltungsinfrastruktur sind.

Sie umfassen:

  • Proxy-Backend, welches andere Knoten anpingt, um deren Verfügbarkeit zu beweisen
  • Proxy-Tester, der eine Verbindung zu einem Bot-Proxy herstellt
  • Der Manager, welcher Scan- und Brute-Force-Befehle erteilt
  • Backend-Schnittstelle, die für das Hosting einer Web-API verantwortlich ist
  • Knoten, welcher Kryptografie-Schlüssel verwendet, um andere Geräte zu authentifizieren und autorisierte Nachrichten zu signieren
  • Entwicklungsknoten, der für die Entwicklungszwecke verwendet wird

,,Zusammen sind diese Knoten verantwortlich für die Überprüfung der Knotenverfügbarkeit, die Verbindung zu Proxy-Knoten, das Hosting des Web-API-Dienstes, das Signieren autorisierter Nachrichten und sogar das Testen der Malware in der Entwicklungsphase“.

Dies schrieben Forscher des rumänischen Herstellers von Antiviren-Programmpaketen „Bitdefender“ in einem am Donnerstag veröffentlichten Bericht. “Zusammen mit anderen Entwicklungsentscheidungen führt uns dies zu der Annahme, dass das Botnetz als Proxy-Netzwerk verwendet wird, welches möglicherweise als Anonymisierungsdienst angeboten wird“.

Es ist nicht das erste Mal, dass Forscher Botnetze gefunden haben, die zur Bereitstellung von Netzwerken für eine quasi anonyme Internetnutzung verwendet werden. Der Sicherheitsjournalist Brian Krebs berichtete bereits im Jahr 2008 darüber.

Verschiedene Forscher haben diese zudem dokumentiert. Eine Tatsache, die der Hersteller Bitdefender zu dieser Zeit interessant fand, ist, dass der anonyme Proxy in dem Clearnet und nicht in den Darknet-Foren beworben wurde.

 
Du hast einen Sicherheitsvorfall?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt Anfragen
PSN Icon Analyse

Rechner werden infiziert, indem sie nach SSH- oder sicheren Shell-Servern scannen, wenn Diese gefunden werden, versuchen sie, schwache Passwörter zu erraten. Malware, die in der Go-Programmiersprache geschrieben wurde, implementiert dann ein Botnetz mit einem originellen Design. Dies bedeutet, dass seine Kernfunktionalität von Grund auf neu geschrieben wurde und keine Rückschlüsse auf zuvor gesehene Botnets zulässt.

Der Code integriert Open-Source-Implementierungen von Protokollen wie NTPUPnP und SOCKS5. Zusätzlich verwendet dieser die lib2p-Bibliothek für Peer-to-Peer-Funktionalität. Außerdem wird ein lib2p-basierten Netzwerk-Stack zur Interaktion mit dem Interplanetaren Dateisystem, welches oft mit IPFS abgekürzt wird, verwendet.

„Im Vergleich zu anderer Golang-Malware, die wir in der Vergangenheit analysiert haben, ist IPStorm aufgrund des Zusammenspiels seiner Module und der Art und Weise, wie es sich die Konstrukte der libp2p zunutze macht, bemerkenswert in seinem komplexen Design”, hieß es im Bericht vom Donnerstag, in welchem die Abkürzung für „Interplanetary Storm“ verwendet wurde. “Es ist klar, dass der Bedrohungsakteur hinter dem Botnetz „Golang“ beherrscht.“

Icon Laptop Gear
Sobald der Code ausgeführt wird, initialisiert der Code einen IPFS-Knoten, der eine Reihe von einfachen Threads bekannt als „Goroutines“ startet, die wiederum jede der Hauptunterroutinen implementieren. Unter anderem erzeugt er ein 2048-Bit-RSA-Schlüsselpaar, welches zum IPFS-Knoten gehört und zur eindeutigen Identifizierung des Knotens dient.
Icon Network
Sobald ein Bootstrap-Prozess beginnt, ist der Knoten für andere Knoten im IPFS-Netzwerk erreichbar. Die verschiedenen Knoten verwenden alle Komponenten der lib2p Kommunikation. Neben der Kommunikation für den anonymen Proxy-Dienst interagieren die Knoten auch miteinander, um Malware-Binärdateien auszutauschen, die zur Aktualisierung verwendet werden. Bis heute hat Bitdefender mehr als 100 Code-Revisionen gezählt, was darauf hindeutet, dass IPStorm weiterhin aktiv bleibt und die Aufmerksamkeit der Programmierung erhält.
PSN Icon Hacker

Bitdefender schätzt, dass es etwa 9.000 einzigartige Geräte gibt, von denen die überwiegende Mehrheit Android-Geräte sind. Nur etwa 1 Prozent der Geräte laufen unter Linux. Es wird angenommen, dass nur auf einer einzigen Maschine Darwin läuft. Auf der Grundlage von Hinweisen, die anhand der Betriebssystemversion und, falls verfügbar, des Host- und Benutzernamens gesammelt wurden, hat die Sicherheitsfirma bestimmte Modelle von Routern, NAS-Geräten, TV-Empfängern und Mehrzweck-Leiterplatten und Mikrocontrollern (z. B. Raspberry Pis) identifiziert, die wahrscheinlich das Botnetz bilden.

Viele Kriminelle verwenden anonyme Proxies, um illegale Daten wie Kinderpornografie, Drohungen und Swatting-Angriffe zu übermitteln. Der Bericht vom Donnerstag ist eine gute Erinnerung daran, warum es wichtig ist, beim Einrichten von Internet-of-things-Geräten immer die Standardpasswörter zu ändern und – wenn möglich – auch den administrativen Fernzugriff zu deaktivieren. Die Kosten, dies nicht zu tun, können nicht nur verlorene Bandbreite und erhöhter Stromverbrauch sein, sondern auch kriminelle Inhalte, die bis zu Ihrem Netzwerk zurückverfolgt werden könnten.

Du hast einen Sicherheitsvorfall?
Vertrauen unseren zertifizierten IT Forensikern.
Jetzt kontaktieren