Silex-Malware befällt 2.000 IoT-Geräte binnen Stunden

Der Akamai-Forscher Larry Cashdollar hat eine neue Variante der Silex-Malware entdeckt. Diese befällt aktuell Tausende von IoT-Geräten blockiert diese bzw. macht sie unbrauchbar. Binnen weniger Stunden wurden über 2.000 Geräte befallen. Urheber scheint ein Teenager zu sein, der plant, das Projekt auszuweiten. Aktuell kann die Malware auch Linux-Server bricken.


Anzeige

Der Akamai-Forscher Larry Cashdollar hat die Information kürzlich auf Twitter öffentlich gemacht.

Die einzige Möglichkeit, infizierte Geräte wiederherzustellen, besteht darin, die Firmware des Geräts manuell neu zu installieren. Silex ist nicht die erste IoT-Malware mit diesem Verhalten, denn die Schadsoftware BrickerBot hat bereits 2017 Millionen von Geräten in Elektroschrott verwandelt, wie securityaffairs.co hier schreibt.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)


Anzeige

So geht die Malware vor

ZDNet hat in diesem Artikel die Geschichte aufgegriffen. Der Sicherheitsforscher Cashdollar teilte ZDNet in einer Mail folgendes mit: "Es verwendet bekannte Standard-Anmeldeinformationen für IoT-Geräte, um sich anzumelden und das System funktionsuntüchtig zu machen. Ich sehe in der Binärdatei, dass es fdisk -l aufruft, das alle Festplattenpartitionen auflistet. Dann schreibt die Ransomware zufällige Daten von /dev/random auf jeden gemounteten Speicher, den sie findet. Die Ransomware löscht dann Netzwerkkonfigurationen, [….] auch rm -rf /, was alles löscht, was bisher noch übersehen wurde. Es flusht auch alle iptables Einträge und fügt einen hinzu, der alle Verbindungen löscht. Dann stoppt die Ransomware das IoT-Geräte oder startet es neu."

Angriff auch auf Linux-Server, geht über iranische Server

"Es zielt auf jedes Unix-ähnliche System mit standardmäßigen Anmeldeinformationen ab", sagte Cashdollar gegenüber ZDNet. Er konnte eine Binärdatei sicherstellen, die auf ARM-Geräte abzielt.

Cashdollar ist aber auch ein Bash-Shell-Version zum Herunterladen aufgefallen. Diese kann für jede Architektur mit einem Unix-ähnlichen Betriebssystem verwendet werden. Das bedeutet auch, dass Silex Linux-Server zerstört, wenn sie Telnet-Ports geöffnet haben und wenn sie mit schlechten oder weit verbreiteten Anmeldeinformationen gesichert sind.

ZDNet fragt dann, ob die Urheber des Angriffs bekannt seien. Der Sicherheitsforscher schreibt dazu: "Es scheint, dass die IP-Adresse, die auf meinen Honeypot zielte, auf einem VPS-Server von novinvps.com gehostet wird, der aus dem Iran heraus betrieben wird." Die IP-Adresse ist inzwischen bereits in der URLhaus-Blacklist eingetragen, nachdem sie vom IoT-Malware-Forscher Rohit Bansal gemeldet wurde.

Steckt ein Teen dahinter?

Mit Hilfe des NewSky Security-Forschers Ankit Anubhav kontaktierte ZDNet den Malware-Autor von Silex und stellte eine Reihe von Fragen zu seinen Motiven und seinem großen Masterplan. Laut Anubhav ist für diese destruktive Malware ein 14-jähriger Teenager verantwortlich, der unter dem Pseudonym Light Leafon online geht.

Der Hacker mit dem Namen Light Leafon hatte das HITO IoT Botnet erstellt und war vor einem Monat von Anubhavs im Podcast über IoT Botnets und Sicherheit interviewt worden. Anubhav bestätigte die Identität des Hackers, indem er eine benutzerdefinierte Nachricht auf dem Silex Command and Control (C&C)-Server ablegte. Über die Antwort auf diese Nachricht bestätigte der Hacker, dass er auf die Silex C&C-Server Zugriff hatte.

Light hat das Projekt, laut eigener Aussage, als Scherz gestartet. Inzwischen habe sich das Ganze aber zu einem Vollzeitprojekt entwickelt. Daher hat er das alte HITO-Botnet für Silex aufgegeben. Der Teenager sagte gegenüber Anubhav, er plane, die Malware weiter zu entwickeln und noch mehr zerstörerische Funktionen hinzuzufügen.

"Es wird überarbeitet, um die ursprüngliche BrickerBot-Funktionalität zu erhalten", sagte Light zu Anubhav und ZDNet. Geplant sei unter anderem, neben der aktuellen Telnet-Hijacking-Funktion auch die Möglichkeit der Anmeldung an Geräten über SSH hinzuzufügen. Darüber hinaus plant Light auch die Integration von Exploits in Silex, um der Malware die Möglichkeit zu geben, Schwachstellen zu nutzen, um in Geräte einzudringen, ähnlich wie die meisten IoT-Botnetze heute funktionieren.

"Mein Freund Skiddy und ich werden den ganzen Bot überarbeiten", sagte Light gegenüber dem Sicherheitsforscher. "Es wird auf jeden einzelnen öffentlich bekannten Exploit abzielen, den Mirai oder Qbot laden." Anubhav beschrieb den Teenager als "einen der prominentesten und talentiertesten IoT-Hacker, den es momentan gibt".

Es sei beeindruckend und gleichzeitig traurig, dass Light sein Talent illegal einsetzt. Die schlechte Nachricht für Light ist, dass er (im Gegensatz zum BrickerBot-Autor mit dem Alias Janit0r),eine minimale Spur von Fußspuren hinterlassen hat. Diese Fehler könnten dazu führen, dass er irgendwann auffliegt und dann für viele Jahre in den Knast wandert. Ergänzung: Golem hat ebenfalls einen Artikel zum Thema veröffentlicht.


Anzeige

Dieser Beitrag wurde unter IoT, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Silex-Malware befällt 2.000 IoT-Geräte binnen Stunden

  1. Buchhalter sagt:

    Ich möchte einmal etwas "quer" denken:

    IoTs sind ein Sicherheitsrisiko für das iNet. Born Sensai hat es in diesem Blog auch schon einmal thematisiert. Die Hersteller von solchen schrottigen IoTs freuen sich zur Belohnung dann auch noch über die Gewinne. Eigentlich gehört dieser Schrott den Herstellern und ihren Händlern um die Ohren gedroschen. Leider ist das unrealistisch.

    Jedes IoT das durch Light Leafon gebrickt wird, war ein unsicheres IoT und wurde aus dem iNet entfernt. Damit ist das schon ein Gewinn. Und wenn der Typ ausreichend Erfolg hat, dann können die Hersteller solchen Schrott nicht mehr verkaufen. Sie würden fast alle Geräte wegen eines "Hardwaredefekts" retourniert bekommen. Das wäre wohl eine Motivation für die Hersteller sichere Geräte zu bauen.

    Ich nenne das dann "Sicherheit durch Evolution & Selektion". Diese Betrachtungsweise könnte man theoretisch im Zusammenhang mit Sicherheit auf alle Bereiche der IT anwenden. Was nicht sicher ist, das wird gebrickt …

    In diesem Sinne wünsche ich Light Leafon und Skiddy noch ganz viel Erfolg.

    Was haltet ihr von dieser Betrachtungsweise?

    • Bernard sagt:

      Der Käufer ist das Opfer.

      Der Verkäufer hat das Geld bereits kassiert.

      • Buchhalter sagt:

        1. Rücktrittsrecht bei Online – Geschäften
        2. Gewährleistung
        3. Wandelung

        und was sicher folgt ist:
        4. ein Shitstorm
        Am Ende werden die Anbieter durch die nicht mehr vorhandenen Kunden vom Markt genommen.

        und last but not least:
        Kunden, die sich so einen Sch… andrehen lassen, sind selber schuld.
        Kein Mitleid!
        Frei nach dem Motto: "Aus Schaden wird man klug".

  2. Micha sagt:

    Das die Firmware viele Sicherheitslücken hat ist die eine Seite. Das es nicht möglich ist sie mit passender Hardware neu einzuspielen das andere Problem.

    Weshalb einigen sich die Hersteller nicht auf einen Standard um die Firmware im Gerät über eine externen Anschluss wieder einspielen zu können.

    Es kann doch nicht die letzte Lösung sein jedes durch Schadsoftware nicht mehr funktionierendes IoT Gerät zu verschrotten.

  3. Bernard sagt:

    Betrifft das jetzt auch Geräte mit openELEC/libreELEC?

    Dort kann das Standardpasswort ja nicht geändert werden, da es fest vergeben ist.

  4. deoroller sagt:

    Im Moment ist der Petnet SmartFeeder-Server offline. Gemeldet wurde es am 14. Februar und am 18. war der Server immer noch offline.
    https://twitter.com/petnetiosupport/status/1228190332912717825

    Die Besitzer werden gebeten, sicherzustellen, dass ihre Haustiere nicht verhungern.
    Blöd ist es, wenn die keinen Plan B haben und gerade zur Zeit verreist sind.

    .

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.