Trotz Bekanntwerden des Mirai-Bot-Netzes vor zwei Jahren nutzen Hacker weiter erfolgreich werkseitig voreingestellte Benutzernamen und Kennwörter (Default-Einstellung) in IoT-Geräten aus, um Bot-Netze aufzubauen. Für den September konnte Netscout Arbor, Anbieter von Business Assurance-, Cyber-Sicherheits- und Business-Intelligence-Lösungen, nach eigenen Angaben eine Liste mit 1.065 Kombinationen aus Default-Einstellungen aus 129 verschiedenen Ländern identifizieren. Die Gefahr, dass IoT-Geräte immer noch sehr leicht per Default infiltriert werden können, ist demnach also hoch.

Per Brute-Force-Methode wählen Cyber-Kriminelle nach dem Zufallsprinzip Zielgeräte aus. Anschließend versuchen sie diese automatisiert mit Kombinationen aus Default-Einstellungen zu infiltrieren. Vor allem Distributed-Denial-of-Service-Angriffe lassen sich über Bot-Netze schlagkräftig ausführen. Ziel der Hacker, die DDoS-Angriffe einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen.

Die Top 5 der Default-Kombination im Monat September sind laut Netscout Arbor:

  • admin/admin,
  • guest/12345,
  • root/vizxv,
  • root/xc3511,
  • support/support und
  • root/default.

Diese Passwort-Kombinationen sind auch im ursprünglichen Mirai-Quellcode enthalten. Die Kombinationen vizxv und xc3511, die auf die DVRs (digitale Videorekorder) abzielen, verhalfen dem ursprünglichen Mirai-Bot-Netz zum Erfolg. Darüber hinaus hat Netscout Arbor eine Liste der häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert, die nicht im ursprünglichen Mirai-Quellcode enthalten sind:

  • default/default,
  • root/1001chin,
  • root/,
  • telnetadmin/telnetadmin,
  • root/ttnet,
  • root/taZz@23495859,
  • root/aquario,
  • e8telnet/e8telnet,
  • admin/,
  • telnet/telnet,
  • e8ehome/e8ehome,
  • root/cat1029,
  • root/5up,
  • root/ivdev,
  • admin/aquario,
  • root/zsun1188,
  • default/antslq,
  • root/founder88,
  • admin/ipcam_rt5350 und
  • default/.

Diese Liste enthält eine Mischung der Benutzernamen und Passwörter aus Basic, Default/Default und Root/ sowie spezifischen Kombinationen aus Root/1001chin und Root/taZz@23495859. Die spezifischeren Passwörter beziehen sich auf die werkseitigen Voreinstellungen für bestimmte Geräte. In den letzten zwei Jahren haben sich Angreifer darauf konzentriert, neue Geräte aufzunehmen.

Die Kombination root/20080826, die hauptsächlich aus Russland stammt, scheint auf das Gerät TM02 TripMate – einen mobilen WLAN Router – abzuzielen. Die Kombination vstarcam2015/20150602 zielt wahrscheinlich auf Webcams ab. Beide Geräte sind in den USA erhältlich, aber vor allem in Russland sehr beliebt. Da die Quellen gut verteilt sind, handele es ich aller Wahrscheinlichkeit nach nicht um ein gezieltes Scannen, sondern um das Verhalten eines Bots. Die Kombination Telecomadmin/Admintelecom zielt auf Huawei-Geräte ab, die außerhalb westlicher Länder deutlich weiter verbreitet sind. Die Kombination aus Benutzernamen und Passwörtern aus dem Iran könnte auf einen älteren Bot hinweisen.

Guido Schaffner, Channel Sales Engineer bei Netscout Arbor, kommentiert: „IoT-Bots wählen ihr Ziel nach dem Zufallsprinzip und probieren solange Default-Kombinationen aus, bis die Liste erschöpft oder der Angriff erfolgreich ist. Security-Experten können mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Bot-Netz verhält, kann dabei helfen, das Targeting und die Methodik der Betreiber zu verstehen. Zusammenfassend zeigen unsere Untersuchungen, dass IoT-Geräte immer noch sehr leicht infiltriert werden können und daher anfällig für eine missbräuchliche Verwendung sind.“

Der Link asert.arbornetworks.com/wp-content/uploads/2018/10/honeypot_map.png zeigt eine Karte mit Telnet-basierenden Brute-Force-Angreifern. Die Top-Länder sind Russland, China, Brasilien, USA und Südkorea. Einen ausführlichen Blogpost zum Thema in englischer Sprache erhalten Interessierte hier: asert.arbornetworks.com/dipping-into-the-honeypot/. Live-Angriffe auf Honeypots mit Benutzernamen und Passwörtern sind hier sichtbar: sicherheitstacho.eu/.

Dr. Jörg Schröper ist Chefredakteur der LANline.