Satori-Botnet nutzt Zero-Day-Lücke in Huawei-Modems

Publiziert am 28. Dezember 2017 von Günter Born

SicherheitEin Satori genanntes Botnet bedroht Huawei-Router (und andere Geräte), indem es eine Zero-Day-Sicherheitslücke zur Übernahme der Geräte nutzt. Das Botnet scheint das Werk eines Amateur-Hackers zu sein.

Anzeige

Amateur-Hacker hinter dem Botnet

Das Satori-Botnet, auch unter dem Namen Mirai Okiru bekannt, entstand um den 23. November 2017 herum, als sich die Malware erstmals im Internet verbreitete. Das berichtet Bleeping Computer in diesem Artikel. Sicherheitsforscher sagen, dass hinter dem Satori-Botnet ein Amateuer-Hacker, ein sogenanntes "Script-Kiddie", steckt. Ein Hacker namens Nexus Zeta hat Satori als eine Variante der Mirai IoT-Malware, die im Oktober 2016 online veröffentlicht wurde, implementiert. Das Botnet hält Sicherheitsforscher wegen seines rasanten Aufstiegs auf eine Größe von Hunderttausenden von kompromittierten Geräten in Atem. Seit dem Start begann das Botnet, Geräte bei Internet Service Providern in Ägypten, der Türkei, der Ukraine, Venezuela und Peru stark zu infizieren.

Benutzt Sicherheitslücken in Geräten

Das Botnet ist extrem virulent und infizierte von Anfang an viele Geräte. Im Gegensatz zu früheren Mirai-Versionen verlässt es sich nicht auf aktive Telnet-basierte Brute-Force-Angriffe, sondern verwendete stattdessen Exploits.

Genauer gesagt, scannte es Port 52869 von IoT-Geräten und verwendete den Exploit CVE-2014-8361 (UPnP-Exploit), der Realtek, D-Link und andere Geräte betrifft. Zudem scannte es Port 37215 auf einen (zur Zeit der Entdeckung) unbekannten Exploit. Inzwischen ist bekannt, dass es sich um den Zero-Day-Exploit (CVE-2017-17215) handelt, der Huawei HG532-Router betrifft. Huawei veröffentlichte eine Woche nach Beginn der Angriffe Updates und eine Sicherheitswarnung, nachdem sie von den Check Point Forschern benachrichtigt wurden. Ich hatte im Blog-Beitrag Sicherheitslücke in Huawei HG532-Router über diese Sicherheitslücke berichtet.

Satori-Botnet C&C-Servers abgeschaltet

Am vergangenen Wochenende haben zahlreiche Internet Service Provider (ISP) und Cybersicherheitsfirmen eingegriffen und die wichtigsten C&C-Server des Satori-Botnets offline genommen. Dies berichteten Branchenkenner Bleeping Computer. Zu diesem Zeitpunkt zählte das Botnetz nach groben Schätzungen zwischen 500.000 und 700.000 Bots.

Unmittelbar nach dem Takedown kam es zu einem riesigen Anstieg der Scan-Aktivitäten auf den Ports 52869 und 37215, wie die Netlab-Forscher Bleeping Computer mitteilten. Das wahrscheinlichste Szenario ist, dass der Autor Nexus Zeta versucht, Bots für eine andere Satori-Variante zu scannen und zu finden. Spannende Frage ist nun, ob die Identität des Botnet-Autors komplett aufgedeckt werden kann – die Urheber des Mirai-Botnet sind ja gerade in den USA verurteilt worden.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Internet, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Satori-Botnet nutzt Zero-Day-Lücke in Huawei-Modems

  1. Flo sagt:
    28. Dezember 2017 um 11:40 Uhr

    Gibt es eine Geräteliste von den betroffenen Routerherstellern ?

    Antworten

Schreibe einen Kommentar zu Flo Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.