Articles

New IoT Botnet bietet DDoSen von einmal unvorstellbaren Größen für $20

 Neues IoT-Botnetz bietet Dosen von einst unvorstellbaren Größen für $20

Die Organisatoren eines neuen Botnetzes, das aus infizierten Routern für zu Hause und kleine Büros besteht, verkaufen dreist Denial-of-Service-Angriffe von einst unvorstellbaren Mengen für nur 20 US-Dollar pro Ziel.

Die Gruppe, die sich Los Calvos de San Calvicie nennt, bewirbt auf dieser Website mehrere Dienste. Zu den Diensten gehören verteilte Denial-of-Service-Angriffe von 290 bis 300 Gigabit pro Sekunde für jeweils 20 US-Dollar. Obwohl es ein Drittel der Größe einiger der größten aufgezeichneten Angriffe ist, reichen 290 Gbit / s immer noch aus, um die meisten Websites zum Erliegen zu bringen, es sei denn, sie suchen nach DDoS-Minderungsdiensten, die in vielen Fällen erhebliche Geldbeträge kosten. Noch vor fünf Jahren galten 300 Gbit / s als ausreichend, um die Kerninfrastruktur des Internets herunterzufahren.

Mitglieder von Los Calvos de San Calvicie wurden in den letzten Tagen beim Aufbau eines Botnetzes entdeckt, das möglicherweise über die Feuerkraft verfügt, die erforderlich ist, um die versprochenen starken Angriffe auszuführen. Laut Pascal Geenens, einem Forscher der Sicherheitsfirma Radware, baut die Gruppe das Botnetz auf, indem sie zwei Sicherheitslücken ausnutzt: eine in RealTek-Routern mit veralteter Firmware und die andere im Huawei HG532-Router, wo ein im Dezember veröffentlichter Patch von vielen Benutzern noch nicht installiert wurde. Beide Sicherheitsanfälligkeiten werden auch von einem anderen Internet-of-Things-Botnetz namens Satori ausgenutzt.

Im Gegensatz zu den meisten IoT-Botnets, die bisher gesehen wurden, verwendet das von Geenens verfolgte, das er JenX nennt, eine Handvoll auf Nicht-IoT-Servern, um das Internet nach anfälligen Geräten zu durchsuchen und sie, sobald sie gefunden wurden, auszunutzen. Das macht es viel schwieriger, die Anzahl der infizierten Geräte zu schätzen, aus denen JenX besteht, da die simulierten anfälligen Router, die Geenens in seinem Labor verwendet, um das Botnetz zu verfolgen, dieselbe begrenzte Anzahl von Angriffsservern sehen.

Im Gegensatz dazu verlassen sich Mirai, Satori, Reaper und andere IoT-Botnetze auf infizierte Geräte, um gefährdete Geräte zu lokalisieren und zu infizieren. Dadurch können Honeypots wie Geenens die Größe des Botnetzes basierend auf der Anzahl der IPs, die das Scannen durchführen, abschätzen. JenX hat seinen Namen von „Jennifer“, dem Namen, den die Malware-Entwickler der Binärdatei gegeben haben, die anfällige Geräte infiziert.

Devine Stream

Geenens sagte, der Hauptzweck des Botnetzes sei es, Leute anzugreifen, die das Online-Spiel Grand Theft Auto auf bestimmten kostenpflichtigen Servern spielen. Das wiederum kann die Nachfrage nach Spiel-Hosting erhöhen durch sancalvicie.com . Das ist die gleiche Domain, die den JenX Command-and-Control-Server hostet. Es bewirbt sich als resistent gegen die Arten von Angriffen, mit denen Mirai und JenX rivalisierende Spiel-Hosts stürzen. Es ist auch die gleiche Domain, die für die DDoS-for-Hire-Dienste wirbt, die ein Nebengeschäft für das Hosting von Spielen zu sein scheinen.

Die spanischsprachige Gruppe hat ihren DDoS-Dienst Corriente Divina getauft, was übersetzt „göttlicher Strom“ bedeutet. Eine grobe englische Übersetzung des Service-Slogans lautet: „Gottes Zorn wird gegen das geistige Eigentum eingesetzt, das Sie uns zur Verfügung stellen.“

Mehr anzeigen

Die Gruppe bietet Source Query Engine Floods und 32-Byte-Floods an, bei denen es sich um Arten von DDoS-Angriffen handelt, die besonders effektiv sind, um viele Arten von Multiplayer-Spieldiensten zum Erliegen zu bringen. Der DDoS-Dienst enthält auch eine „Down OVH“ -Option, ein wahrscheinlicher Hinweis auf den in Frankreich ansässigen Hosting-Anbieter, der für das Hosting von Servern für Multiplayer-Spiele, einschließlich Minecraft, bekannt ist. OVH war ein Ziel bei den 2016-Angriffen von Botnets wie Mirai, die den Cloud-Anbieter mit 1.1-Terabit pro Sekunde Junk-Traffic verprügelten, ein Rekord zu dieser Zeit. Ironischerweise wurde in den letzten Tagen die verschlüsselte Binärdatei, die an ausgenutzte Router geliefert wurde, auf einer IP-Adresse von OVH gehostet, sagte Geenens.

JenX ist ein Beispiel für die zweite Generation von IoT-Botnetzen. Wie Mirai macht es Jagd auf die große Anzahl ungesicherter Router, Kameras und anderer netzwerkfähiger Geräte, die das Internet bevölkern. Diese Versorgung gibt den Botnetzen gewaltige Mengen an verteilter Bandbreite, die die kollektive Fähigkeit haben, große Teile des Internets zu lähmen. Eine Schwäche von Mirai war jedoch die Abhängigkeit von Standardkennwörtern, um die Kontrolle über Geräte zu übernehmen. Sobald die Passwörter geändert werden – entweder von Herstellern oder Gerätebesitzern — wird Mirai unwirksam.

JenX, Satori, Reaper und andere IoT-Botnetze der zweiten Generation haben diese Einschränkung umgangen, indem sie Firmware-Schwachstellen in mit dem Internet verbundenen Geräten ausgenutzt haben. Der Infektionsmechanismus ist potenziell viel effektiver, da die meisten IoT-Geräte Linux-basierte Firmware ausführen, die zum Zeitpunkt des Versands im Allgemeinen veraltet ist. Viele Geräte können überhaupt nicht aktualisiert werden. Viele andere, die aktualisiert werden können, sind für die meisten Menschen unerschwinglich schwierig. Dadurch bleiben den IoT-Botnetzen der zweiten Generation Millionen von Geräten übrig, die mithilfe zuverlässiger Exploits, die häufig online verfügbar sind, übernommen werden können.

Werbung

JenX unterscheidet sich von den meisten IoT-Botnets, da es, wie bereits erwähnt, auf zentralisierte Server angewiesen ist, um anfällige Geräte zu suchen und auszunutzen. Das bedeutet, dass seine Wachstumsrate wahrscheinlich konstant bleiben wird. In einer E-Mail, Geenens schrieb:

Das Potenzial für dieses Botnetz ist vergleichbar mit Satori, da es genau die gleichen Exploits verwendet. Die Wachstumsrate dieses Bots wird jedoch nicht so hoch sein wie bei Satori, da Satori Bots verwendet, die jeder selbst scannt und ausnutzt – also mehr Bots, mehr Scanner, mehr Opfer, noch mehr Bots, noch mehr Scanner usw …. so exponentielle Wachstumsrate für die Mirai, Satori und Reaper Botnets. Das JenX-Botnetz verwendet Server für das Scannen und Ausnutzen von Geräten, sodass das Wachstum weniger als linear sein wird. Indem Sie mehr Server hinzufügen, können sie es schneller wachsen lassen, aber niemals so effizient und aggressiv wie Mirai, Satori und Reaper.

Geenens hat hier einen vollständigen Bericht über seine neuesten Erkenntnisse veröffentlicht.

Zum Zeitpunkt der Veröffentlichung dieses Beitrags teilte Geenens Ars mit, dass die Teams von Leaseweb Netherlands und Leaseweb Germany einige der JenX Exploit-Server, die in ihren Rechenzentren gehostet wurden, heruntergefahren hätten. Geenens sagte, dass der C & C-Server wie andere Exploit-Server betriebsbereit bleibt.

Werbung

“ Dies sendet ihnen nur die Nachricht, dass sie sich besser vor uns verstecken müssen „, schrieb der Forscher in einer E-Mail mit Bezug auf die JenX-Operatoren. „Es ist nicht so einfach, eine qualifizierte Hacker-Gruppe auszuschalten – sie lernen jetzt aus ihren Fehlern. Sie könnten ihren Betrieb auf das Darknet übertragen, was ein weiterer Vorteil der Verwendung zentralisierter Exploit-Server ist.“