DDoS-Tool Mirai versklavt Mobilfunk Gateways fürs IoT-Botnet

Der Hersteller Sierra Wireless und die US-Sicherheitsbehörde ICS-CERT warnen davor, dass das DDoS-Tool Mirai es nun auf Mobilfunk-Gateways der AirLink-Reihe des Herstellers abgesehen hat.

Die Gateways werden z.B. eingesetzt, um lokale Netze von Sensoren per Mobilfunk zugänglich machen. Sofern die Gateways ohne VPN oder ähnlichen Schutz im Internet erreichbar sind, findet Mirai sie und setzt sich im RAM des Geräts fest. Damit steht nicht nur das Gerät selbst für DDoS-Angriffe bereit, sondern Mirai bekommt Zugriff aufs dahinter liegende Netz und kann es nach weiteren anfälligen Geräten durchforsten.

Der Angriff geschieht nicht über eine Sicherheitslücke wie die uralte OpenSSH-Lücke in vielen IoT-Geräten (ich berichtete). Stattdessen nutze Mirai eine andere Schwachstelle, nämlich dass offenbar viele Admins das Default-Passwort nicht ändern.

Mirai arbeitet grundsätzlich wie jedes andere Botnet: es sucht anfällige Produkte, infizierte diese, fügt sie dem eigenen Netzwerk hinzu und nutzt sie anschließend, um Befehle auszuführen. Zwei Dinge fallen allerdings auf: Mirai setzt auf massiven Level-7-Datenverkehr, beispielsweise HTTP-Anfragen. Bislang arbeiteten DDoS-Attacken vor allem mit Datenverkehr auf den OSI-Leveln 3 und 4, sie verwendeten etwa DNS-Amplification-Attacken.

Quelle: heise Security