Ein Satori genanntes Botnet bedroht Huawei-Router (und andere Geräte), indem es eine Zero-Day-Sicherheitslücke zur Übernahme der Geräte nutzt. Das Botnet scheint das Werk eines Amateur-Hackers zu sein.
Anzeige
Amateur-Hacker hinter dem Botnet
Das Satori-Botnet, auch unter dem Namen Mirai Okiru bekannt, entstand um den 23. November 2017 herum, als sich die Malware erstmals im Internet verbreitete. Das berichtet Bleeping Computer in diesem Artikel. Sicherheitsforscher sagen, dass hinter dem Satori-Botnet ein Amateuer-Hacker, ein sogenanntes "Script-Kiddie", steckt. Ein Hacker namens Nexus Zeta hat Satori als eine Variante der Mirai IoT-Malware, die im Oktober 2016 online veröffentlicht wurde, implementiert. Das Botnet hält Sicherheitsforscher wegen seines rasanten Aufstiegs auf eine Größe von Hunderttausenden von kompromittierten Geräten in Atem. Seit dem Start begann das Botnet, Geräte bei Internet Service Providern in Ägypten, der Türkei, der Ukraine, Venezuela und Peru stark zu infizieren.
Benutzt Sicherheitslücken in Geräten
Das Botnet ist extrem virulent und infizierte von Anfang an viele Geräte. Im Gegensatz zu früheren Mirai-Versionen verlässt es sich nicht auf aktive Telnet-basierte Brute-Force-Angriffe, sondern verwendete stattdessen Exploits.
Genauer gesagt, scannte es Port 52869 von IoT-Geräten und verwendete den Exploit CVE-2014-8361 (UPnP-Exploit), der Realtek, D-Link und andere Geräte betrifft. Zudem scannte es Port 37215 auf einen (zur Zeit der Entdeckung) unbekannten Exploit. Inzwischen ist bekannt, dass es sich um den Zero-Day-Exploit (CVE-2017-17215) handelt, der Huawei HG532-Router betrifft. Huawei veröffentlichte eine Woche nach Beginn der Angriffe Updates und eine Sicherheitswarnung, nachdem sie von den Check Point Forschern benachrichtigt wurden. Ich hatte im Blog-Beitrag Sicherheitslücke in Huawei HG532-Router über diese Sicherheitslücke berichtet.
Satori-Botnet C&C-Servers abgeschaltet
Am vergangenen Wochenende haben zahlreiche Internet Service Provider (ISP) und Cybersicherheitsfirmen eingegriffen und die wichtigsten C&C-Server des Satori-Botnets offline genommen. Dies berichteten Branchenkenner Bleeping Computer. Zu diesem Zeitpunkt zählte das Botnetz nach groben Schätzungen zwischen 500.000 und 700.000 Bots.
Anzeige
Unmittelbar nach dem Takedown kam es zu einem riesigen Anstieg der Scan-Aktivitäten auf den Ports 52869 und 37215, wie die Netlab-Forscher Bleeping Computer mitteilten. Das wahrscheinlichste Szenario ist, dass der Autor Nexus Zeta versucht, Bots für eine andere Satori-Variante zu scannen und zu finden. Spannende Frage ist nun, ob die Identität des Botnet-Autors komplett aufgedeckt werden kann – die Urheber des Mirai-Botnet sind ja gerade in den USA verurteilt worden.
Anzeige
Gibt es eine Geräteliste von den betroffenen Routerherstellern ?