Geräte, die ohne laufende Update-Versorgung am Internet hängen, sind eine echte Gefahr für die Internet-Infrastruktur, dies haben die letzten Monate eindrücklich gezeigt. So hatte vergangenen Oktober eine Botnet-Attacke auf den DNS-Anbieter DynDNS Teile des Internets für Stunden unerreichbar gemacht. Dafür verantwortlich: eine Armee an Geräten aus dem Bereich des "Internets der Dinge", die aufgrund gravierender Sicherheitslücken gehackt und zu einem Angriffswerkzeug umfunktioniert wurden.

Brickerbot

Nun hat es eine neue Angriffswelle auf Router und andere dauerhaft im Internet hängende Geräte abgesehen, allerdings mit einer noch düstereren Ausrichtung, wie der Sicherheitsdienstleister Radware warnt. Ziel des Brickerbot ist es nämlich, die übernommenen Geräte dauerhaft zu beschädigen.

Einmal in das System eingebrochen, werden sämtliche Dateien gelöscht, Einstellungen zurückgesetzt und der Kernel so begrenzt, dass nur mehr maximal ein Thread gleichzeitig laufen kann – womit das betroffene System de facto unbrauchbar gemacht wird. Für normale User ist das Gerät in der Folge nicht mehr wiederherstellbar, der einzige Ausweg bleibt, die Software komplett neu zu flashen – wenn denn diese Option beim jeweiligen Hersteller überhaupt zur Verfügung steht.

Pure Zerstörungslust

Die Motivation der Urheber ist dabei unklar, immerhin können sie selbst nach so einer Attacke nichts mehr mit diesen Geräten anfangen, während es sonst meist das Ziel ist, einen weiteren Internet-Zugang in das eigene Botnet einzugliedern. Eventuell will hier also einfach nur jemand auf sehr brachiale Weise mit verwundbaren Geräten im Netz aufräumen.

Jedenfalls scheint es den Angreifern durchaus ernst zu sein, kursiert doch mittlerweile bereits die zweite Generation von Brickerbot, die noch wesentlich mehr Systeme angreifen kann. Diese verändert zusätzlich auch noch laufende Netzwerkeinstellungen und versteckt die eigenen Attacken hinter dem Anonymisierungs-Netzwerk Tor.

Angriffsvektor

Der Weg, über den sich Brickerbot Zugriff verschafft, ist ebenso simpel wie ernüchternd, sind solche Attacken doch seit langem bekannt. Die Malware probiert einfach auf den jeweiligen Geräten mittels Telnet so lange bekannte Default-Login-Einstellungen der Hersteller aus, bis eine passt.

Wie viele Geräte mittlerweile durch Brickerbot zerstört wurden, ist unklar. Allerdings können die Forscher nachweisen, dass es weiterhin laufend Attacken mit der zweiten Generation der Schadsoftware gibt. Betroffenen Usern bleibt nur, Experten aufzusuchen, um ihre Geräte wiederherzustellen, oder, was in vielen Fällen wohl die bessere Variante ist: sich einen neuen Router mit einer besseren Update-Versorgung zuzulegen. (Andreas Proschofsky, 7.4.2017)