Mirai gegen Hajime: Der Krieg der Botnetze

Die Botnetz-Software Mirai hat Ende des letzten Jahres erstmals Schlagzeilen. Mirai-Botnetze waren für eine Reihe von DDoS-Angriffen in nie zuvor gesehener Stärke verantwortlich. Nun berichtet 'Ars Technica' von einer ähnlichen Malware, genannt Hajime. Wie Mirai kann Hajime mit dem Internet verbundene Geräte wie Videorecorder, IP-Kameras, Router, Sensoren und so weiter infizieren und danach die Kontrolle darüber übernehmen. Bisher hat Hajime laut 'Ars' mindestens 10'000 Geräte infiziert. Für das Eindringen verwendet Hajime fast die gleiche Liste von Default-Passwörtern, wie Mirai.
 
Wie Mirai beginnt auch Hajime zudem nach einer erfolgreichen Infektion sofort, vom infizierten Gerät aus nach neuen Opfern zu suchen. Allerdings missbraucht Hajime die übernommenen Geräte danach nicht zu DDoS-Angriffen oder anderen Zwecken. Hajime scheint nämlich dafür ausgelegt zu sein, die infizierten Geräte vor allem gegen einen Angriff durch Mirai zu wappnen. Dafür sperrt Hajime vier Ports, die Mirai normalerweise für Angriffe benützt.
 
Trotz seiner anscheinend guten Absichten hat der Entwickler von Hajime seine Botnetz-Software mit einigen Features versehen, welche die Entdeckung und Entfernung erschweren. Das Hajime-Botnetz wird beispielsweise über ein Peer-to-peer-Netzwerk gesteuert und upgedatet, das ISP nicht so einfach blockieren können wie traditionelle Command-and-Control-Server. Auf den Geräten selbst versucht Hajime zudem, seine Prozesse und Files zu verstecken.
 
Gegenwärtig hat Hajime keine "bösartigen" Module, zum Beispiel für DDoS-Angriffe. Dies könnte sich nach einem Update aber jederzeit ändern.
 
Genau wie Mirai ist übrigens auch Hajime nach einer Infektion nur im RAM eines IoT-Geräts präsent. Das heisst, ein Neustart entfernt die Malware. Wenn die Firmware des Geräts allerdings dabei nicht ebenfalls upgedatet wird, kann das Gerät nach dem Neustart innert Sekunden wieder neu infiziert werden – mit Hajime oder Mirai. (hjm)