Research (Insikt)

IoT-Botnetz der Mirai-Variante zielte im Januar 2018 auf den Finanzsektor ab [Bericht]

Veröffentlicht: 5. April 2018
Von: Insikt Group

Laden Sie hier das vollständige PDF herunter

Wichtige Urteile

  • The first attack occurred on January 28, 2018 at 1830 UTC. A second financial sector company experienced a DDoS attack the same day and time, likely utilizing the same botnet. A third financial sector company experienced a similar DDoS attack a few hours later at 2100 UTC the same day.
  • Der erste Angriff war ein DNS-Amplification-Angriff mit einem Datenverkehrsvolumen von bis zu 30 Gb/s. Uns liegen nicht genügend Informationen vor, um das Ausmaß der beiden folgenden Angriffe zu bestimmen.
  • Wenn diese Angriffe von IoTroop durchgeführt wurden, deuten unsere Beobachtungen darauf hin, dass sich das Botnetz seit Oktober 2017 weiterentwickelt hat und nun Schwachstellen in weiteren IoT-Geräten ausnutzt. Dies wird wahrscheinlich auch weiterhin der Fall sein, um das Botnetz zu verbreiten und größere DDoS-Angriffe zu ermöglichen.
  • Wir haben mindestens sieben IP-Adressen identifiziert, bei denen es sich unserer Einschätzung nach um Controller des Botnetzes handelt, die wahrscheinlich an der Angriffskoordination und dem Scannen der neuen Botnetz-Infrastruktur beteiligt waren.

Executive Summary

Nach Einschätzung der Insikt Group wurde Ende Januar 2018 bei Angriffen auf mindestens ein, vermutlich aber auch mehrere Unternehmen im Finanzsektor eine Variante des Mirai-Botnetzes eingesetzt, die möglicherweise mit dem IoTroop- oder Reaper-Botnetz in Verbindung steht. Diese Bewertung basiert auf Metadaten von Drittanbietern und vorhandenen Open-Source-Informationen. IoTroop ist ein leistungsstarkes Botnetz für das Internet der Dinge (IoT), das hauptsächlich aus kompromittierten Heimroutern, Fernsehern, DVRs und IP-Kameras besteht und Schwachstellen in Produkten großer Anbieter wie MikroTik, Ubiquity und GoAhead ausnutzt. Dies ist das erste Mal seit Mirai, dass wir den Einsatz eines IoT-Botnetzes bei einem DDoS-Angriff beobachten, und es ist möglicherweise das erste Mal seit der ersten Entdeckung im letzten Jahr, dass IoTroop für Angriffe auf Opfer eingesetzt wird.

Hintergrund

Im Oktober 2017 identifizierten Forscher ein neues Botnetz namens IoTroop, das aus IoT-Geräten wie Routern und drahtlosen IP-Kameras besteht, die von Unternehmen wie TP-Link, Avtech, MikroTik, Linksys, Synology und GoAhead hergestellt werden. IoTroop war insofern einzigartig, als die zur Verbreitung des Botnetzes verwendete Schadsoftware, die ebenfalls Reaper genannt wurde, „ unter Verwendung einer flexiblen Lua-Engine und Skripten erstellt wurde . Das bedeutet, dass der Code nicht auf die statischen, vorprogrammierten Angriffe früherer Exploits beschränkt ist, sondern problemlos im laufenden Betrieb aktualisiert werden kann. Dadurch können riesige vorhandene Botnetze neue und bösartigere Angriffe ausführen, sobald diese verfügbar sind.“

Die IoTroop-Malware kann mindestens ein Dutzend Schwachstellen ausnutzen und kann von den Angreifern aktualisiert werden, wenn neue Schwachstellen offengelegt werden. Eine vollständige Liste der bekannten Anbieter, Technologien und Schwachstellen, die im für diese Angriffe verwendeten Botnetz und im IoTroop-Botnetz beobachtet wurden, finden Sie im Anhang.

Im Februar 2018 verhaftete die niederländische Polizei einen 18-jährigen Mann. Ihm wurde vorgeworfen, DDoS-Angriffe auf mehrere niederländische Unternehmen – die Technologie-Site Tweakers und den Internetdienstanbieter Tweak – gestartet zu haben. Es gibt Spekulationen , dass dieser Mann auch für die von uns beobachteten DDoS -Angriffe auf Finanzinstitute verantwortlich war. Dieser Zusammenhang wurde von der Polizei jedoch nicht bestätigt.

Der Festgenommene scheint das Botnetz für die Angriffe im September gemietet zu haben, unter dem Vorwand, einen „Stresser“ bzw. Netzwerk-Stresstest zu kaufen. Wenn dieser Mann auch für die Angriffe im Januar verantwortlich ist, die wir beobachtet haben, hat er wahrscheinlich auch für diese Angriffe dieses IoT-Botnetz der Mirai-Variante gemietet. Zum Zeitpunkt der Veröffentlichung wissen wir nicht, wer hinter der Zusammenstellung dieses Botnetzes steckt oder wer die Angriffe ausgeführt hat, die wir im Januar 2018 beobachtet haben.

Bedrohungsanalyse

Erstes Unternehmen aus dem Finanzsektor im Visier

Das Botnetz zielte mit mindestens 13.000 Geräten, jedes mit einer einzigartigen IP-Adresse, auf das erste Unternehmen des Finanzsektors ab und erzeugte ein Datenverkehrsvolumen von bis zu 30 Gb/s. Die Insikt Group nutzte IP-Geolokalisierung, Service-Banner von Shodan und zusätzliche Metadaten, um die Zusammensetzung des Botnetzes zu analysieren. Die Auswahl der potenziellen Controller bzw. Botmaster erfolgte auf Grundlage der Häufigkeit und Anzahl der unterschiedlichen Botnet-Clients, mit denen sie kommunizierten. Aufgrund ungewöhnlicher Portnutzung wurden weitere anormale Aktivitäten festgestellt.

Unsere Analyse zeigt, dass das am ersten Firmenangriff beteiligte Botnetz zu 80 Prozent aus kompromittierten MikroTik-Routern bestand und die restlichen 20 Prozent aus verschiedenen IoT-Geräten bestanden, von anfälligen Apache- und IIS-Webservern bis hin zu Routern von Ubiquity, Cisco und ZyXEL. Unter den 20 Prozent der IoT-Geräte, darunter Produkte großer Anbieter wie MikroTik, GoAhead, Ubiquity, Linksys, TP-Link und Dahua, entdeckten wir auch Webcams, Fernseher und DVRs.

mirai_botnet_iot_1.png

Aufgezeichnete zukünftige Zeitleiste der Schwachstellen und Exploits von MicroTik-Routern seit der Entdeckung des IoTroop-Botnetzes.

Die Verbreitung von Geräten unterschiedlicher Hersteller deutet auf ein weitverbreitetes und sich rasch entwickelndes Botnetz hin, das offenbar öffentlich bekannt gewordene Schwachstellen in vielen IoT-Geräten ausnutzt. Zwar tauchten in der im Oktober 2017 veröffentlichten Studie viele IoT-Anbieter und -Geräte auf, doch war bei vielen Geräten, wie etwa Dahua CCTV DVRs, Samsung UE55D7000-Fernsehern und Contiki-basierten Geräten, bislang nicht bekannt, dass sie für die Reaper/IoTroop-Malware anfällig sind.

mirai-botnet-iot-2.png

Recorded Future-Zeitleiste der Verbreitung von IoT-Botnetzen und Malware seit den Mirai-Angriffen im September 2016.

Bei allen kompromittierten MikroTik-Geräten war der TCP-Port 2000 geöffnet, der normalerweise für das Bandbreitentest-Serverprotokoll von MikroTik reserviert ist. Dieser Port ist in neuen MikroTik-Geräten normalerweise standardmäßig aktiviert. Innerhalb des Botnetzes wurden keine MikroTik-Geräte mit deaktiviertem TCP 2000 (eine empfohlene Sicherheitsmaßnahme in Produktionsumgebungen) entdeckt.

Unten sehen Sie eine Grafik mit der geografischen Aufteilung des Botnetzes:

mirai-botnet-iot-3.png

Globale Verteilung von IoT-Botnet-Clients, die auf den Finanzdienstleistungssektor abzielen, Januar 2018 (über Microsoft Excel).

Wie die Grafik zeigt, war die geografische Verbreitung der Botnet-Clients stark auf Russland, Brasilien und die Ukraine ausgerichtet. Dies ist wahrscheinlich eher ein Ausdruck der Popularität der MikroTik-Geräte in diesen Ländern und hat nichts Konkretes mit der Botnetz-Konfiguration zu tun. Insgesamt sind in den Daten 139 verschiedene Länder vertreten, was zeigt, dass anfällige IoT-Geräte weltweit in großem Maßstab ins Visier genommen werden. Diese Verteilung unterschied sich vom ursprünglichen Mirai-Botnetz, bei dem Brasilien das einzige Land war, das in den Top-5-Botnetz-Clientlisten für beide Botnetze erschien.

Wir haben eine Reihe von IPs entdeckt, bei denen es sich unserer Meinung nach um Befehls- und Kontrollserver (oder „Controller“) für das Botnetz handelt, und eine Liste aufgezeichneter zukünftiger Bedrohungen erstellt, damit Kunden diese Controller verfolgen können. Für den Zugriff wenden Sie sich bitte an Ihren Geheimdienstvertreter.

Die folgenden IP-Adressen sind Kandidaten für Botnet-Controller. Während die Lautstärke allein schon ein Indikator für einen Controller ist, vertrauen wir aufgrund weiterer Daten besonders auf die folgenden IPs.

98.95.228.104: 34 percent of all activity we observed targeting the first financial sector company included UDP DNS requests to or from this IP.

71.68.32.251: Similarly, we observed a large amount of activity to or from the first company to this IP.

213.160.168.18: We observed no specific threat data on this IP, but it is part of a /24 range that has historically been linked to malware deployment and suspect proxies.

84.47.111.62: This is likely a top controller, based on volume and pattern analysis.

Die nächsten beiden IPs sind beide slowakisch. Beide weisen leicht erhöhte Recorded Future-Risikowerte auf, weil sie das prädiktive Risikomodell ausgelöst haben.

87.197.166.13 and 87.197.108.40: We observed large amounts of data exchanged between these two IPs and a couple of the controllers. We believe these could be primary controllers, or at a minimum, one hop closer to source.

62.204.238.82: This IP was one of the 13,000 IPs originally involved in the DDoS attack. It resolves to the Czech Republic, and accounts for almost three percent of the traffic generated from our metadata analysis. During the researched window, we observed this IP make repeated connections to three suspected Internet Relay Chat (IRC) servers in France (149.202.42.174, 51.255.34.80, 5.196.26.96). All three of these suspected IRC servers triggered Recorded Future’s predictive risk model.

Zweites Unternehmen aus dem Finanzsektor im Visier

Darüber hinaus stellten wir fest, dass ein zweites Unternehmen aus dem Finanzsektor am selben Wochenende vom 27. bis 28. Januar 2018 ebenfalls Ziel eines DDoS-Angriffs war. Wir gehen davon aus, dass dieser Angriff mithilfe desselben IoT-Botnets der Mirai-Variante durchgeführt wurde, da es Überschneidungen bei der Nutzung der Botnet-Infrastruktur und dem Zeitpunkt der Angriffe gab.

Im Laufe unserer Analyse stießen wir auf Hinweise darauf, dass das zweite Unternehmen wahrscheinlich am selben Tag Ziel desselben IoT-Botnetzes der Mirai-Variante war. Weitere Analysen ergaben, dass die IP-Adresse des zweiten Unternehmens mit 26 einzigartigen IP-Adressen kommunizierte, von denen 19 am Angriff auf das erste Unternehmen des Finanzsektors beteiligt waren.

Drittes Unternehmen aus dem Finanzsektor im Visier

Wir stellten außerdem fest, dass es am 28. Januar 2018, nur wenige Stunden später, ungefähr um 21:00 UTC, im Netzwerk eines dritten Unternehmens aus dem Finanzsektor zu sehr hohen Datenmengen an TCP 443-Ereignissen kam. Zwar liegen derzeit keine technischen Details dieser Aktivität vor, die einen Vergleich mit dem ursprünglichen DDoS-Angriff ermöglichen würden, doch die zeitliche Nähe dieser Ereignisse lässt auf einen möglichen Zusammenhang schließen.

Ausblick

Diese Angriffe unterstreichen die anhaltende DDoS-Bedrohung für den Finanzsektor durch sich ständig weiterentwickelnde Botnetze. Die Ähnlichkeit der Gerätezusammensetzung mit dem IoTroop/Reaper-Botnetz lässt darauf schließen, dass IoTroop sich weiterentwickelt hat und nun Schwachstellen in weiteren IoT-Geräten ausnutzt. Dies wird er wahrscheinlich auch in Zukunft tun, um das Botnetz aufzubauen und größere DDoS-Angriffe auf den Finanzsektor zu ermöglichen.

Da immer mehr Daten über die anhaltenden Angriffe von IoTroop auf Finanzinstitute ans Licht kommen, wird es zunehmend wichtiger, die potenziellen Controller zu überwachen und neue IoT-Geräte zu identifizieren, die dem Botnetz zur Vorbereitung weiterer Angriffe hinzugefügt werden.

Kunden von Recorded Future wird empfohlen, die veröffentlichte Bedrohungsliste der Botnet-Controller zu abonnieren, um bösartige Aktivitäten zu verfolgen. Diese Controller sind wahrscheinlich intensiv mit der Suche nach neuer anfälliger IoT-Infrastruktur beschäftigt, die sie übernehmen können. Darüber hinaus sind sie für alle Denial-of-Service-Angriffsbefehle verantwortlich, die an die Botnet-Clients gesendet werden.

Wir empfehlen Benutzern von IoT-Geräten außerdem, die folgenden einfachen Maßnahmen zu ergreifen, um das Risiko zu verringern, dass ihre Geräte von einem IoT-Botnetz übernommen werden:

  • Ersetzen Sie die Standardkennwörter des Herstellers immer sofort nach der Verwendung.
  • Halten Sie die Firmware der Geräte aktuell und auf dem neuesten Stand.
  • Investieren Sie für IP-Kameras und ähnliche Systeme, die Fernzugriff erfordern, in ein VPN.
  • Deaktivieren Sie nicht benötigte Dienste (z. B. Telnet) und schließen Sie Ports, die für das IoT-Gerät nicht benötigt werden.

Verwandte Nachrichten & Forschung