Gestern haben wir einen Beitrag über eine neue Version der Linux-Schadsoftware Mirai (ein sich selbst verbreitendes Botnet, das IoT-Geräte anvisiert und für einen massiven DDoS-Angriff auf Dyn-Server im Jahr 2016 verantwortlich war) im World Wide Web entdeckt. Dem Analysten und Verfasser des Beitrags zufolge ist dieses Botnet mit einem deutlich breiteren Exploit-Spektrum ausgestattet, was es noch gefährlicher macht und dem Schadprogramm eine enorm schnelle Verbreitung ermöglicht. Noch beunruhigender ist die Tatsache, dass der neue Stamm dieses Mal nicht nur seine gewöhnlichen Opfer (Router, IP-Kameras und andere „smarte“ Dinge), sondern darüber hinaus auch IoT-Geräte von Unternehmen im Visier hat.
Ehrlich gesagt ist dies keine große Überraschung – der Quellcode der Mirai-Malware wurde vor nicht allzu langer Zeit im Netz veröffentlicht und kann nun von so gut wie jedem Angreifer mit ausreichenden Programmierkenntnissen verwendet werden. Aus diesem Grund kommt der Name „Mirai“ in unserem Q4-DDoS-Bericht von Securelist auch des Öfteren vor. Unserem neuesten IoT-Bedrohungsbericht zufolge sind Varianten der Mirai-Malware für 21% aller Infektionen von IoT-Geräten verantwortlich.
Da der Code von Mirai sehr flexibel und anpassungsfähig ist, kann er leicht mit neuen Exploits erweitert werden und auf diese Weise seine Zielgruppen weiter ausbauen. Und genau das ist dieses Mal passiert. Neben dem neuen Exploit-Satz für seine eingefleischten Opfer – darunter Router, Zugangspunkte, ADSL-Modems und Netzwerkkameras – kann das Botnet jetzt auch Unternehmensgeräte wie leistungsstarke, Enterprise-Class-Wireless-Controller, Digital Signage-Systeme und drahtlose Präsentationssysteme infizieren.
Analysten von Palo Alo Networks zufolge besteht die Liste potenzieller Mirai-Zielobjekte aus:
- Drahtlosen Präsentationssystemen wePresent WiPG-1000;
- LG Supersign Fernsehern;
- DLink DCS-930L Netzwerk-Videokameras;
- DLink DIR-645, DIR-815 Routern;
- Zyxel P660HN-T Routern;
- Netgear-Geräten WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620;
- Netgear Modemroutern DGN2200 N300 Wireless ADSL2+ und
- Netgear Prosafe Wireless-Controllern WC9500, WC7600, WC7520.
Und das ist noch lange nicht das Ende vom Lied. Unsere Experten erwarten eine neue Mirai-Infektionswelle, die möglicherweise industrielle IoT-Geräte betreffen wird.
So schützen Sie Ihre Geräte
Um zu verhindern, dass Ihre Geräte dem Mirai-Botnet zum Opfer fallen, empfiehlt unser Sicherheitsforscher, Victor Chebyshev, Unternehmen Folgendes:
- Installieren Sie Firmware-Updates und Patches unverzüglich auf allen Geräten und Systemen;
- Überprüfen Sie das Traffic-Volumen all Ihrer Geräte; infizierte Geräte zeigen einen deutlich höheren Traffic;
- Ändern Sie vorinstallierte Passwörter und verschärfen Sie die Passwortrichtlinien für Ihre Mitarbeiter;
- Rebooten Sie jedes Gerät, wenn Sie der Meinung sind, dass es sich merkwürdig verhält. Beachten Sie jedoch, dass vorhandene Malware zwar beseitigt werden kann, das Risiko einer zukünftigen Infektion allerdings weiterhin bestehen bleibt.
Kaspersky IoT Threat Data Feed
Um Unternehmen vor den neuesten IoT-Bedrohungen zu schützen, haben wir einen neuen Datenfeed veröffentlicht, der gezielt Daten über IoT-Bedrohungen sammelt. Momentan enthält er mehr als 8000 Datensätze und wird stündlich aktualisiert. Sie können diesen Feed in Routern, Web-Gateways, Smart-Systemen und individuellen IoT-Geräten implementieren und ihn zu einem Bestandteil einer Allround-Threat-Intelligence-Lösung machen.
Der Feed basiert auf Informationen unserer Forscher und Analysten sowie auf Daten, die aus einer Reihe von Honeypots und anderen Fallgruben, die ungeschützte IoT-Geräte nachahmen, stammen. Wenn Sie mehr darüber erfahren möchten oder mit unserem für integrierte Technologielösungen zuständigem Team Kontakt aufnehmen möchten, besuchen Sie bitte unsere Kaspersky IoT Threat Data Feed-Website.