Default-Credentials IoT-Geräte werden momentan von der Malware Silex befallen. Der 14-jährige Entwickler handelt scheinbar aus Spaß.
Die Malware Silex wurde von einem Sicherheitsforscher entdeckt. Die Aufgabe der schädlichen Anwendung ist es, schlecht gesicherte Geräte im Internet der Dinge (Internet of Things; IoT) lahmzulegen. Das Vorgehen ist dabei sehr simpel. Via Telnet unter unter der Benutzung von bekannten Default-Login-Daten wird sich Zugriff auf das Gerät beschafft. Das Gerät wird anschließend unbrauchbar gemacht.
Angriffsziele sind alle Geräte mit einem UNIX-artigem Betriebssystem. Der Schaden kann nur noch über eine Neuinstallation der Firmware behoben werden.
Wie viele Geräte bislang von der neuen Malware infiziert worden sind, ist nicht bekannt. Einer Meldung von ZDNet nach, dessen Autor auch mit dem Entwickler geredet hat, scheint die Verbreitung Stunde zu Stunde zuzunehmen.
Eingangs waren es 350 infizierte Geräte. Innerhalb von zwei Stunden sind 1650 Geräte hinzugekommen und weitere Angriffe sind bereits geplant, aber diesmal deutlich intensiver als zuvor.
Warum sich die Geschichte bei Silex wiederholt
Derartige Angriffe haben immer ein Leitbild. Kaum ein Angreifer erfindet das Rad neu. Der IT-Sicherheitsexperte Larry W. Cashdollar hatte Silex entdeckt und auf die Ähnlichkeiten im Fall von BrickerBot hingewiesen. Die Angriffe wurden 2017 durchgeführt. Damals wurden Millionen Geräte infiziert.
Das Ziel: Komplette Zerstörung
Es geht bei Silex nicht darum, auf diese Schwachstellen hinzuweisen. Viel mehr geht es um die komplette Zerstörung. Es ist das einzige Ziel der Malware. Bevor Silex sich also in die Firmware einnistet, verschafft sich die Malware erst einen Überblick über Laufwerke und Portionen. Diese werden im Anschluss mit Zufallsdaten überschrieben.
Danach werden die Netzwerk-Konfigurationen und auch die Firewall-Einstellungen gelöscht. Zum Schluss wird der Shell-Befehl rm -rf ausgegeben, um alle verbleibenden Inhalte vollends zu löschen. Das Gerät stoppt seine Arbeit oder erledigt einen Neustart.
Das Gerät ist daraufhin unbrauchbar und funktionslos. Der Schaden daraufhin ist zum Beispiel für ein Unternehmen immens. Es gibt nicht nur ein Gerät, sondern mehrere. Die Firmware müsste von jemanden, der sich wirklich damit auskennt, neuinstalliert werden.
Das Problem ist jedoch, dass nicht viele verstehen, dass es ein Malware-Angriff war. Die Techniker werden vermuten, dass es sich um einen Hardware-Defekt handelt und die Geräte im Zweifel einfach wegwerfen. Hierbei entsteht auch kein Lerneffekt. Die Default-Login-Daten werden auch hier wieder zum Einsatz kommen.
14-jähriger Entwickler handelt aus Spaß
Durch den Tweet von Cashdollar wurde der Sicherheitsforscher Ankit Anubhav darauf aufmerksam. Er hat die Malware untersucht und die einzelnen vorgehen und kam den Urheber der Malware auf die Spur.
Der 14-jährige Hacker tritt unter dem Pseudonym Light Leafon auf. Bislang ist auch nur bekannt, dass der Hacker aus Europa stammt. Einem Interview hat der Hacker übrigens eingewilligt.
Im Interview sagte er, dass er keinerlei finanzielles Interesse hätte. Viel mehr sei sein Projekt ein einfacher „Spaß“. Ebenfalls stammt auch das IoT-Botnetz HITO von ihm, jedoch hat er dies mittlerweile aufgegeben.
Er sagte auch, das sich Silex erst am Anfang befinde. Er möchte die Malware um weitere Features ergänzen und Angriffsmöglichkeiten via SSH sowie Exploits statt Default-Logins verwenden. Das würde dafür sorgen, dass die aktuell wirksame Schutzmethode aushebeln. Diese besteht darin, dass das Telnet-Port geschlossen wird und die voreingestellten Credentials abgeändert werden.
Die IP-Adresse des Silex-Command-and-Control-Servers stammt aus dem Iran. Hier befindet sich auch der Server. Die IP-Adresse wurde mittlerweile auf die Blacklist von URLHaus gesetzt. Ein Sample der Silex-Malware wurde außerdem auf dem Online-Scandienst VirusTotal zur Verfügung gestellt.
Schutz vor Malware möglich?
Einen effektiven Schutz vor Malware gibt es nicht wirklich. Es gibt immer Möglichkeiten, um ein System auszuheben. Es gibt aber gewisse Dinge, die nicht verwendet werden sollten. Darunter zählen eben auch die Standard-Zugangsdaten. Dabei ist es ganz gleich, ob es sich um ein Smart Home Device handelt oder um eine Werksmaschine im Intranet.