"DoS-für-immer": Brickerbot wird gefährlicher

Vor einer Woche berichteten wir über Hajime. Diese Malware – oder ist es tatsächlich eine "Goodware"? – gibt vor, mit dem Internet verbundene Geräte zu infizieren, um sie vor einer Infektion durch die Botnetz-Software Mirai zu schützen.
 
Vor einem Monat haben Security-Spezialisten von Radware eine weitere, ähnliche Software entdeckt, welche ebenfalls Geräte aufs Korn nimmt, die auf Mirai anfällig wären. Die Radware-Leute nannten sie Brickerbot. Wie Hajime scheint diese Malware – dies ist eindeutig eine Malware – auf Mirai anfällige Geräte zu "schützen". Allerdings mit einer wesentlich rabiateren Methode: Brickerbot versucht, sie komplett funktionsunfähig zu machen. Auch ein Restart hilft nicht.
 
Wie Radware nun am Freitag geschrieben hat, sind mittlerweile bereits die dritte und vierte Variante von Brickerbot entdeckt worden. Die Methoden, die die neuen Varianten zur Zerstörung von befallenen Geräte einsetzen, sind laut Radware verfeinert und destruktiver gemacht worden. Ausserdem scheint sich die Angriffsintensität erhöht zu haben.
 
Wenig Informationen über konkrete Infektionen
Allerdings basiert Radware diese Aussage auf die Häufigkeit der Attacken, die in seinem eigenen "Honeypot"-Netzwerk registriert wurden. Dieses Netzwerk ist dazu da, Angriffe anzulocken und zu dokumentieren. Informationen darüber, ob und wie viele Geräte von normalen Usern oder Unternehmen Brickerbot befallen und möglicherweise kaputt gemacht hat, gibt es dagegen nicht. Viele User dürften einen solchen Ausfall auch auf einen Gerätedefekt zurückführen und kaum mit einer Malware in Verbindung bringen.
 
'BleepingComputer' hat auf der Hacker-Plattform 'Hack Forums' das Profil eines Hackers gefunden, der behauptete, das Brickerbot-Netz zu steuern. In einem Forum, in dem Mirai diskutiert wird, behauptete der Hacker mit dem Pseudonym janitOr, über 200'000 Geräte "gekillt" zu haben, was bestimmt einen Rückgang der Mirai-Bots bewirkt habe. Dies war zweieinhalb Monate bevor Radware erstmals über Brickerbot berichtete.
 
Seit die Sicherheit des "Internet-of-Things" stärker zum Thema in der IT-Szene geworden ist, gibt es laut 'Ars Technica' Kritiker, die anmerken, dass sowohl Hersteller als auch User von IoT-Geräten schlicht zu wenige (finanzielle) Anreize hätten, um sich verstärkt um deren Sicherheit zu kümmern. Vielleicht wurde der Hacker "janitOr" auch davon inspiriert und möchte einen künstlichen Anreiz schaffen.
 
Die Brickerbot-Attacken gehen laut Radware von einem Botnetz aus, das aus Geräten besteht, auf denen eine veraltete Version des Softwaremoduls Dropbear SSH Server läuft. Von diesen Geräten aus sucht Brickbot nach Geräten mit der BusyBox-Software und übernimmt sie mit ähnlichen Methoden wie Mirai. Auf den Geräten werden dann Prozesse gestartet mit dem Ziel, sie dauerhaft funktionsunfähig zu machen. Radware nennt dies deshalb eine "Permament DOS"-Attacke. Brickerbot versucht dazu unter anderem, den Speicher zu korrumpieren. (hjm)