Das im Jahr 2016 erstmals aufgetauchte Mirai-Botnetz hat eine beispiellose Zahl von Geräten kompromittiert und dem Internet erheblichen Schaden zugefügt. Nun ist es zurück und präsentiert sich gefährlicher denn je.
Eine neue, verbesserte Version von Mirai infiziert mehr Geräte
Am 18. März 2019 veröffentlichten Sicherheitsforscher von Palo Alto Networks die Information, dass Mirai optimiert und erweitert wurde, um dasselbe Ziel in größerem Umfang zu verfolgen. Die Analyse ergab, dass Mirai nun 11 neue Exploits verwendet (wodurch die Gesamtzahl auf 27 ansteigt) und eine erweiterte Liste mit standardmäßigen Administrator-Zugangsdaten verwendet, um in die Systeme einzudringen. Einige dieser Änderungen richten sich gezielt an Hardware in Unternehmen, wie beispielsweise LG Supersign TVs und WePresent WiPG-1000 Wireless-Präsentationssysteme.
Die Fähigkeit von Mirai, sich in Unternehmenshardware und -netzwerke einzuschleusen, erhöht seine Leistungsfähigkeit erheblich. Ruchna Nigam, leitende Bedrohungsforscherin bei Palo Alto Networks, betonte:
Diese neuen Funktionen erweitern die Angriffsfläche des Botnetzes beträchtlich. Insbesondere die gezielte Ausrichtung auf Unternehmensverbindungen eröffnet den Zugriff auf eine höhere Bandbreite, was die Schlagkraft des Botnetzes für DDoS-Angriffe erheblich erhöht.
Diese Variante von Mirai zielt weiterhin auf Router, Kameras und andere netzwerkfähige Geräte von Privatpersonen ab. Je mehr Geräte kompromittiert werden, desto besser ist es für die destruktiven Absichten des Botnetzes. Ironischerweise wurde die Schadsoftware auf einer Website gehostet, die ein Unternehmen bewarb, das sich mit „Elektronischer Sicherheit, Integration und Alarmüberwachung“ befasste.
Mirai: Ein Botnetz, das auf IoT-Geräte abzielt
Das Mirai-Botnetz war 2016 allgegenwärtig. Es attackierte Router, DVR-Systeme, IP-Kameras und viele andere Geräte. Diese werden oft als Geräte des Internets der Dinge (IoT) bezeichnet und umfassen einfache Geräte wie internetfähige Thermostate. Botnetze funktionieren, indem sie Gruppen von Computern und anderen Geräten infizieren und diese dann dazu zwingen, Systeme anzugreifen oder andere Aktionen koordiniert auszuführen.
Mirai infizierte Geräte mithilfe von Standard-Admin-Anmeldeinformationen, entweder weil diese nicht geändert wurden oder vom Hersteller fest einprogrammiert waren. Das Botnetz hat eine enorme Anzahl von Geräten übernommen. Obwohl die meisten Systeme nicht sehr leistungsstark waren, ermöglichte die schiere Anzahl in Kombination eine Wirkung, die ein einzelner, leistungsfähiger Computer nicht erreichen könnte.
Mirai hat fast 500.000 Geräte kompromittiert. Mit diesem zusammengeschlossenen Botnetz von IoT-Geräten hat Mirai Dienste wie Xbox Live und Spotify sowie Websites wie BBC und Github lahmgelegt, indem es direkt auf DNS-Anbieter zielte. Bei einer solchen Anzahl infizierter Computer wurde Dyn (ein DNS-Anbieter) durch einen DDOS-Angriff mit 1,1 Terabyte Datenverkehr ausgeschaltet. Ein DDOS-Angriff überflutet ein Ziel mit einer enormen Menge an Internetverkehr, die das Ziel nicht verarbeiten kann. Dadurch wird die Website oder der Dienst des Opfers stark verlangsamt oder komplett aus dem Internet entfernt.
Die ursprünglichen Ersteller der Mirai-Botnetz-Software wurden festgenommen, bekannten sich schuldig und wurden zu Bewährungsstrafen verurteilt. Für eine gewisse Zeit war Mirai inaktiv. Allerdings blieb genug Code übrig, der von anderen Kriminellen übernommen und für eigene Zwecke angepasst wurde. Nun gibt es also eine weitere Variante von Mirai.
Wie Sie sich vor Mirai schützen können
Wie andere Botnetze nutzt auch Mirai bekannte Exploits, um Geräte anzugreifen und zu kompromittieren. Es versucht auch, Standard-Anmeldeinformationen zu nutzen, um in die Geräte einzudringen. Ihre drei wichtigsten Schutzmaßnahmen sind daher einfach:
Aktualisieren Sie immer die Firmware (und Software) aller internetfähigen Geräte zu Hause oder am Arbeitsplatz. Das Hacken ist ein ständiges Katz-und-Maus-Spiel. Sobald ein Forscher einen neuen Exploit entdeckt, folgen Patches, um das Problem zu beheben. Botnetze wie dieses gedeihen auf Geräten ohne Patches, und diese Mirai-Variante ist da keine Ausnahme. Die Exploits, die auf die Unternehmenshardware abzielen, wurden bereits im September des letzten Jahres und 2017 identifiziert.
Ändern Sie so schnell wie möglich die Standard-Administrator-Anmeldeinformationen Ihrer Geräte (Benutzername und Passwort). Bei Routern können Sie dies in der Weboberfläche Ihres Routers oder in der mobilen App (sofern vorhanden) tun. Bei anderen Geräten, bei denen Sie sich mit dem Standardbenutzernamen oder -passwort anmelden, konsultieren Sie das Handbuch des Geräts.
Wenn Sie sich mit „admin“, „Passwort“ oder einem leeren Feld anmelden können, ist es höchste Zeit, dies zu ändern. Stellen Sie sicher, dass Sie die Standardanmeldeinformationen beim Einrichten eines neuen Geräts ändern. Wenn Sie bereits Geräte eingerichtet haben und es versäumt haben, das Passwort zu ändern, tun Sie dies jetzt. Diese neue Variante von Mirai zielt auf neue Kombinationen von Standardbenutzernamen und -passwörtern ab.
Wenn Ihr Gerätehersteller keine neuen Firmware-Updates mehr veröffentlicht oder die Administrator-Anmeldeinformationen fest einprogrammiert sind und Sie diese nicht ändern können, sollten Sie das Gerät ersetzen.
Die beste Methode, dies zu überprüfen, ist, auf der Website Ihres Herstellers zu beginnen. Suchen Sie die Support-Seite für Ihr Gerät und überprüfen Sie, ob es Hinweise auf Firmware-Updates gibt. Kontrollieren Sie, wann das letzte Update veröffentlicht wurde. Wenn seit einem Firmware-Update Jahre vergangen sind, wird das Gerät wahrscheinlich nicht mehr vom Hersteller unterstützt.
Eine Anleitung zum Ändern der Administrator-Zugangsdaten finden Sie ebenfalls auf der Support-Website des Geräteherstellers. Wenn Sie keine aktuellen Firmware-Updates oder eine Möglichkeit zum Ändern des Gerätepassworts finden können, ist es wahrscheinlich an der Zeit, das Gerät zu ersetzen. Sie möchten kein dauerhaft anfälliges Gerät mit Ihrem Netzwerk verbunden haben.
Wenn die neueste Firmware, die Sie finden können, aus dem Jahr 2012 stammt, sollten Sie Ihr Gerät austauschen.
Der Austausch Ihrer Geräte mag drastisch erscheinen, aber wenn diese anfällig sind, ist dies die beste Option. Botnetze wie Mirai werden nicht verschwinden. Sie müssen Ihre Geräte schützen, und indem Sie Ihre eigenen Geräte schützen, schützen Sie das gesamte Internet.