25'000 IP-Kameras in einem DDoS-Botnetz

Der US-Security-Dienstleister Sucuri berichtet in einem Blogbeitrag, dass seine Leute ein Botnetz aufgespürt haben, das mehr als 25'000 IP-Überwachungskameras umfasst. Dass nicht nur PCs, sondern auch andere ans Internet angeschlossene Geräte wie eben Überwachungskameras gehackt und zur "Sklavenarbeit" in einem Botnetz missbraucht werden können, ist nicht neu. Ein Kamera-Botnetz dieser Grössenordnung sei aber bisher noch nie beschrieben worden, so Sucuri.
 
Die Sucuri-Leute entdeckten das Botnetz, als sie einen DDoS-Angriff auf einen kleinen Juwelierladen abwehrten. Dessen Website sei durch einen Layer-7-Angriff mit knapp 35'000 HTTP-Requests pro Sekunde lahmgelegt worden. Nach der Umschaltung der Site auf das Sucuri-Netzwerk wurde sie wieder erreichbar. Die Intensität des Angriffs, der noch einige Tage lang anhielt, stieg daraufhin auf knapp 50'000 Requests pro Sekunde.
 
Eine Rückverfolgung der IP-Adressen zeigte zuerst, dass die Requests von Geräten aus insgesamt 105 Ländern stammten. Die Schweiz ist nicht darunter.
 
Nach weiterem Nachbohren fanden die Sucuri-Leute sichere Anzeichen, dass alle untersuchten IP-Adressen von Kameras verwendet werden, darunter Namen von einschlägigen Herstellern und von Software, die von IP-Kameras verwendet wird. Alle Geräte in diesem Botnetz verwenden laut Sucuri -- https://busybox.net/about.html--die Linux-Variante BusyBox als Betriebssystem--. Wahrscheinlich hätten die Angreifer eine schon seit längerem bekannte Sicherheitslücke genützt, um die Kontrolle zu übernehmen.
 
Die Geschichte zeigt unter anderem, dass man alle Geräte, die mit dem Internet verbunden sind, regelmässig upgedatet und gepatcht werden sollten, nicht nur PCs. Unternehmen und Behörden, die Überwachungskameras einsetzen, sollten sich zudem bewusst sein dass diese eine besondere Gefahr für die Privatsphäre von Kunden und Angestellten darstellen könnten, wenn sie von Aussenstehenden missbraucht werden. (hjm)