Ein starkes Botnetz nutzt einen kritischen Router aus Fehler, der möglicherweise nie behoben wird

Ein Router von Dasan Networks, der diesem ähnelt, wird vom mächtigen Satori-Botnetz aktiv genutzt.Ein Dasan Networks-Router, der diesem ähnelt, wird derzeit aktiv ausgenutzt vom mächtigen Satori-Botnetz.Dasan Networks

Ein sich schnell bewegendes Botnetz, das Router, Kameras und andere verwandelt Arten von Internet-verbundenen Geräten in potente Werkzeuge für Diebstahl und Zerstörung ist wieder aufgetaucht, diesmal durch Ausbeutung von a kritische Sicherheitslücke, die Angreifern die Kontrolle über so viele wie möglich gibt 40.000 Router. Trotz des hohen Einsatzes gibt es keinen Hinweis darauf Der Fehler wird, wenn überhaupt, bald behoben.

Satori, wie das Botnetz genannt wurde, machte sich schnell einen Namen für selbst im Dezember, als es mehr als 100.000 Router infizierte nur 12 Stunden durch Ausnutzen kritischer Schwachstellen in zwei Modellen, eines von Huawei und das andere von RealTek. Letzten Monat, Satori Die Betreiber haben eine neue Version veröffentlicht, die von infizierten Geräten genutzt wurde digitale Münzen, eine Leistung, die es den Angreifern ermöglichte, so viel wie möglich abzubauen Ethereum im Wert von 3.000 USD, basierend auf den Preisen der digitalen Münze zu der Zeit befehlen.

In den letzten Tagen hat Satori damit begonnen, Router zu infizieren hergestellt von Dasan Networks aus Südkorea. Die Anzahl der täglichen infizierte Router sind ungefähr 13.700, davon ungefähr 82 Prozent Ein in Vietnam ansässiger Forscher von Netlab 360 aus China berichtete Ars. Abfragen im Shodan-Suchindex für Internetverbindungen Geräte zeigen, es gibt insgesamt mehr als 40.000 Router von Dasan. Das Unternehmen muss noch auf eine Empfehlung in reagieren Dezember, der die Sicherheitsanfälligkeit in Satori bezüglich Codeausführung dokumentiert Ausnutzen, wodurch es möglich wird, dass die meisten oder alle Geräte Werden Sie schließlich Teil des Botnetzes.

“Wir haben versucht, Dasan seit dem 8. Oktober 2017 zu kontaktieren”, so die Forscher vom Vulnerability Disclosure Service SecuriTeam schrieb in der 6. Dezember Beratung. “Wiederholte Versuche, Kontakt aufzunehmen, gingen unbeantwortet. Derzeit gibt es keine Lösung oder Problemumgehung für Diese Sicherheitsanfälligkeit. “In einer E-Mail gesendet Mittwoch, Noam Rathaus, CTO der Muttergesellschaft von SecuriTeam, Beyond Security, schrieb:

Seit Oktober haben wir mehrmals versucht, Dasan zu kontaktieren. Durch “mehrmals” meine ich wohl über 10 emails, mehrere telefone Anrufe und Anfragen sowohl an ihren Support als auch an ihren Vertrieb Abteilungen.

Da war uns bewusst, dass es eine mögliche Sprache geben kann Barriere gingen wir so weit, den Leiter unseres koreanischen Büros zu haben sende ihnen die vollständige Erklärung auf Koreanisch mit einer Einladung an Kommunizieren Sie direkt mit uns, um die Offenlegung zu koordinieren. unser Das koreanische Büro versuchte, sie per E-Mail und Telefon zu kontaktieren aber bis auf eine kurze bestätigung, dass sie unsere erhalten haben Kommunikation, wir haben keine Updates bekommen.

Versuche von Ars, Dasan-Vertreter zu kontaktieren, waren nicht sofort erfolgreich.

Nahezu endloses Angebot an Sicherheitslücken

Satori basiert auf Mirai, dem Open-Source-Internet der Dinge Malware, die eine Reihe von Botnetzen lieferte rekordverdächtige verteilte Denial-of-Service-Angriffe im Jahr 2016 und geschwächte Kernteile des Internets für Tage. Im Gegensatz zu Tausenden von anderen Mirai-Varianten zeigte Satori eine wesentliche Verbesserung. Wohingegen Mirai und seine Nachahmer konnten nur gesicherte Geräte infizieren Mit leicht zu erratenden Standardkennwörtern nutzte Satori die Firmware Bugs, die oft nicht gepatcht werden, entweder vom Hersteller Nachlässigkeit oder die Schwierigkeit der Gerätebesitzer beim Patchen ihrer Geräte.

“Der Satori-Entwickler aktualisiert die Malware aktiv”, so Netlab 360 Forscher Li Fengpei schrieb in einer E-Mail. “In Zukunft, wenn Satori macht mehr Schlagzeilen, wir werden nicht überrascht sein. ”

Wie die meisten IoT-Schadprogramme überleben Satori-Infektionen ein Gerät nicht neustarten. Das heißt die Dezember-Infektionen von Huawei und RealTek-Geräte – nach Schätzungen von Netlab 360 sind es 260.000 – weitgehend weg. Das Botnetz hat es jedoch geschafft, dank zu bestehen ein nahezu endloses Angebot an Schwachstellen in anderen IoT-Geräten. Neben den bereits erwähnten Infektionsmethoden hat Satori auch Es gelang, sich durch Ausnutzen von Fehlern in benutzerdefinierten Versionen von zu verbreiten GoAhead-Webserver, der in drahtlose Kameras und andere eingebettet ist Arten von IoT-Geräten, Forscher von der Sicherheitsfirma Fortinet Vor zwei Wochen gemeldet. Ein GoAhead – Sprecher sagte zu Ars: “Der Fehler liegt nicht wirklich in der Implementierung des Webservers, sondern in der Webanwendung, die es verwendet, d. h. nur, weil ein Gerät hat GoAhead bedeutet nicht, dass es anfällig ist. ”

Pascal Geenens, ein Forscher bei der Sicherheitsfirma Radware, der berichtete die neue Satori-Variante am Montag, sagte Ars, es sei nicht völlig klar, was der Zweck des Botnetzes ist. Letzte Monate Die zuvor erwähnte Variante infizierte den Claymore Miner Software zum Erzeugen von Kryptowährung kann einen Schlüsselhinweis liefern. Das Variante, sagte Geenens, ist ein starkes Indiz dafür, dass Satori-Operatoren wollen digitale Münzen stehlen oder Ressourcen für die Generierung nutzen Sie. Er sagte, sowohl die Claymore- als auch die Dasan-Variante stützen sich auf dasselbe Kommando- und Kontrollinfrastruktur und das Wort Satori in den Binärdateien beider Versionen enthalten.

Piotr Bazydło, Forscher an der NASK Research and Academic Computer-Netzwerk, sagte Ars, dass er die neue Variante möglicherweise glaubt haben bis zu 30.000 Router und diesen Satori infiziert Entwickler haben wahrscheinlich Pläne für neue Angriffe in naher Zukunft Zukunft.

“Ich vermute, sie versuchen, dem Trend zu folgen und a Botnetz für Kryptowährungs-Mining / -Diebstahl “, schrieb er in einer E-Mail. “Die Leute sollten sich darüber im Klaren sein, dass es weitere Varianten von Satori geben kann in Zukunft könnten [und] damit auch andere IoT-Geräte ins Visier genommen werden. ”

Dieser Beitrag wurde am 15.02.2008 aktualisiert, um Kommentare von hinzuzufügen Gehen Sie geradeaus.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: