Über viele Jahre haben Sicherheitsexperten vor den Gefahren des Internets der Dinge gewarnt: Gerät, die ohne langfristige – und rasche – Update-Versorgung am Netz hängen, seien eine echte Gefahr. Dass dies nicht bloß leeres Gerede ist, bestätigte dann im Vorjahr das Mirai-Botnetz: Seit langem bekannte Sicherheitslücken in IP-Kameras ausnutzend, startete dieses eine riesige Attacke gegen die Internet-Infrastruktur, die zahlreiche Seiten stundenlang unerreichbar machten.

BrickerBot

Vor wenigen Wochen trat dann ein neuer Akteur auf die Bühne: Die Schadsoftware BrickerBot hat es auf weitgehend die selben Geräte abgesehen, allerdings mit einem noch düsteren Ziel: Diese dauerhaft zu beschädigen.

Wie sich nun herausstellt, ist BrickerBot aber kein rasch Vorübergehendes Phänomen, stattdessen sind mittlerweile zwei weitere Generation der Malware aufgetaucht, wie Arstechnica berichtet. Und diese sind hochaktiv: Pascal Geenens, jener Sicherheitsforscher bei Radware, der BrickerBot entdeckt hat, spricht von umfangreichen Angriffen. Der von ihm betriebene "Honeypot", mit dem die Schadsoftware angelockt werden soll, habe in 24 Stunden fast 1.400 Attacken gemeldet.

Verbreitung

Wie auch seine Vorgänger werden die neuen BrickerBot-Varianten über Rechner verbreitet, auf denen einen veraltete Version des SSH-Server Dropbear läuft. Ihr Ziel sind digitale Videorekorder, Kameras und andere Geräte aus dem Bereich des "Internet der Dinge", die alle zwei Merkmale verbindet: Auf ihnen läuft Busybox, eine populäre Sammlung von wichtigen Linux-Tools, zudem ist bei allen der Telnet-Anschluss offen, was dank bekannten Default-Passwörtern dann auch für den eigentlich Einbruch genutzt werden kann. Einmal am Gerät versucht BrickerBot die lokale Software so zu beschädigen, dass eine Wiederherstellung ohne Expertenhilfe nicht mehr möglich ist.

Spurensuche

Über die Motivation der BrickerBot-Autoren wurde in den letzten Wochen ausführlich spekuliert. So wäre es durchaus denkbar, dass hier jemand bewusst eine – wenn auch rechtlich ziemlich problematische – Aufräumaktion durchführt. Immerhin können Geräte, die von BrickerBot offline genommen werden, anschließend auch nicht mehr von Mirai und anderen Schädlingen für ihre Zwecke missbraucht werden.

Zu dieser Theorie passt ein aktuelle Artikel von Bleeping Computer, für den man angeblich Kontakt zu einem der Betreiber von BrickerBot aufgenommen hat. Dieser brüstet sich damit seit Jänner bereits zwei Millionen Geräte "gebrickt", also dauerhaft beschädigt, zu haben. Das Ziel sei demnach auch tatsächlich, Mirai und ähnlichen Schädlingen die Grundlage zu entziehen. (apo, 26.4.2017)