Das Botnetz Mirai beschränkt sich laut Erkenntnissen von Asert, einem Team aus Sicherheitsexperten von Netscout Arbor, nicht mehr allein auf ungesicherte IoT-Geräte. Erstmals trat das Netzwerk aus gekaperten IoT-Devices 2016 in Erscheinung, als es mit seinen DDoS-Angriffen eine Rekordbandbreite von bis zu 1,2 TBit/s erreichte. Dazu nutzte Mirai nicht etwa Geräte mit hohem Speichervolumen und leistungsfähigen Prozessoren, sondern IoT-Devices (Internet of Things) wie IP-Kameras, Router, Drucker, Festplatten-Receiver oder Babyphones, die oftmals noch mit dem werkseitigen Default-Login versehen waren.

Inzwischen haben die kriminellen Betreiber von Mirai die Malware so angepasst, dass sie auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährdet, so die Security-Experten. Bei Hadoop handelt es sich um ein Framework von Apache, das Big-Data-Anwendungen verbreitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

Die entdeckte Schwachstelle in Hadoop Yarn soll es Angreifern ermöglichen, beliebige Shell-Befehle auszuführen und darüber Malware zu installieren. Dies sind laut Asert Varianten der Mirai-Malware, die ursprünglich für die Manipulation von Geräten im IoT gedacht waren. Da diese Art der Infektion jedoch mittlerweile in den Fokus der Öffentlichkeit gelangt ist und im Zuge dessen die Schutzmaßnahmen verbessert wurden, haben die Cyberkriminellen nun die x86-Version entwickelt, so die Sicherheitsexperten.

Anstatt sich wie bisher darauf zu verlassen, dass sich die Bots selbstständig verbreiten, steuern die Angreifer die Verbreitung der Exploits nun selbst. Dazu verwende eine relativ kleine Anzahl von Angreifern eigens programmierte Tools, um die Hadoop-Yarn-Schwachstelle zu erkennen und die Linux-Malware zu verbreiten.

Den Angreifern bieten sich laut Asert auf diese Weise verschiedene Vorteile durch die neue Malware-Variante: So haben die Linux-Server in privaten Netzwerken deutlich mehr Bandbreite als IoT-Geräte, was sie zu wesentlich effizienteren DDoS-Bots macht. Zudem gestalte sich der Angriff auf die x86-Monokultur von Linux-Servern einfacher als eine Attacke auf die breite Auswahl an CPU-Derivaten, die in IoT-Geräten zum Einsatz kommen. Das Ziel der bisher noch kleinen Hacker-Gruppe ist für Asert klar: Sie wollen die Malware auf möglichst vielen Geräten verbreiten. Durch die Leistungsfähigkeit der Server lauere hier ein enormes Gefahrenpotenzial.

Weitere Informationen finden sich im englischen Asert-Blog unter asert.arbornetworks.com/mirai-not-just-for-iot-anymore/.

Timo Scheibe ist Redakteur bei der LANline.