Botnet zielt auf D-Link-Router mit jahrzehntealter Schwachstelle
Sicherheitsanalysten haben ein neues Botnet entdeckt, das D-Link-Router mit einer fast zehn Jahre alten kritischen Sicherheitslücke anvisiert. Das Ziel des als „Goldoon“ bezeichneten Bot-Netzwerks ist es, diese kompromittierten Geräte für weitere Angriffe zu nutzen.
Die Sicherheitslücke, bekannt als CVE-2015-2051 (mit einem CVSS-Score von 9.8), betrifft D-Link DIR-645-Router. Durch diese Schwachstelle können entfernte Angreifer mittels speziell gestalteter HTTP-Anfragen beliebige Befehle ausführen.
„Einmal kompromittiert, ermöglicht diese Sicherheitslücke den Angreifern die vollständige Kontrolle über das betroffene Gerät. Sie können Systeminformationen extrahieren, eine Verbindung zu einem C2-Server herstellen und die Geräte für weitere Angriffe wie Distributed Denial-of-Service (DDoS) nutzen“, erklären die Analysten Cara Lin und Vincent Li der Fortinet FortiGuard Labs. Telemetriedaten des Netzwerksicherheitsunternehmens deuten auf einen Anstieg der Botnet-Aktivität um den 9. April 2024 hin.
Es beginnt damit, dass die Sicherheitslücke CVE-2015-2051 ausgenutzt wird, um ein Dropper-Skript von einem entfernten Server abzurufen. Dieses Skript ist dafür verantwortlich, die nächste Stufe der Schadsoftware für verschiedene Linux-Systemarchitekturen herunterzuladen, darunter aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha und PA-RISC.
Sobald die Schadsoftware auf dem betroffenen Gerät gestartet wird, fungiert sie als Downloader für die Goldoon-Malware von einem anderen entfernten Endpunkt. Danach löscht der Dropper die ausgeführte Datei und entfernt sich selbst, um seine Spuren zu verwischen und unentdeckt zu bleiben.
Wenn jemand versucht, über einen Webbrowser direkt auf den betroffenen Endpunkt zuzugreifen, wird die Fehlermeldung angezeigt: „Sorry, you are an FBI Agent & we can’t help you 🙁 Go away or I will kill you :)“
Goldoon etabliert nicht nur eine dauerhafte Präsenz auf dem infizierten Host durch verschiedene Autorun-Methoden, sondern kommuniziert auch mit einem Command-and-Control-Server (C2), um Befehle für weitere Aktionen zu empfangen.
Dazu gehören „erstaunliche 27 verschiedene Methoden“, um DDoS-Flood-Angriffe mit verschiedenen Protokollen wie DNS, HTTP, ICMP, TCP und UDP auszuführen.
„CVE-2015-2051 ist zwar keine neue Schwachstelle und Angriffe darüber sind nicht besonders komplex, sie hat aber kritische Sicherheitsauswirkungen, die zur Remotecodeausführung führen können“, so die Analysten.
Diese Entwicklung ist darauf zurückzuführen, dass sich Botnets weiterentwickeln und so viele Geräte wie möglich ausnutzen. Sowohl Cyberkriminelle als auch fortgeschrittene Bedrohungsakteure (APT) zeigen Interesse an kompromittierten Routern, die sie als eine Art Anonymisierungsschicht nutzen können.
„Cyberkriminelle vermieten kompromittierte Router gerne an andere Kriminelle und stellen sie höchstwahrscheinlich auch kommerziellen Proxy-Anbietern zur Verfügung“, so das Cybersicherheitsunternehmen Trend Micro in einem Bericht. „Staatliche Bedrohungsakteure wie Sandworm nutzten ihre eigenen Proxy-Botnets, während die APT-Gruppe Pawn Storm Zugang zu einem kriminellen Proxy-Botnet aus Ubiquiti EdgeRoutern hatte.“
Die gehackten Router werden als Proxys verwendet, um ihre Spuren zu verwischen und die Entdeckung von bösartigen Aktivitäten zu erschweren. Dabei wird ihre Aktivität mit normalem, harmlosem Datenverkehr vermischt.
Im Februar dieses Jahres hat die US-Regierung Maßnahmen ergriffen, um Teile eines Botnets namens MooBot zu zerstören. Dieses Botnetz nutzte neben anderen internetfähigen Geräten wie Raspberry Pi und VPS-Servern vor allem Ubiquiti EdgeRouter.
Trend Micro hat beobachtet, dass diese Router für verschiedene Zwecke genutzt wurden, darunter SSH-Brute-Forcing, pharmazeutischer Spam, der Einsatz von SMB-Reflektoren bei NTLMv2-Hash-Relay-Angriffen, das Proxying gestohlener Anmeldedaten auf Phishing-Websites, Mehrzweck-Proxying, Kryptowährungs-Mining und der Versand von Spear-Phishing-E-Mails.
Ubiquiti-Router wurden auch von einem anderen Bedrohungsakteur angegriffen, der sie mit einer Malware namens Ngioweb infiziert hat. Diese Router wurden dann als Ausgangsknoten in einem kommerziell erhältlichen Residential-Proxy-Botnet verwendet.
Die Ergebnisse zeigen, dass verschiedene Arten von Malware verwendet werden, um Router in ein Netzwerk einzubinden, das von Bedrohungsakteuren kontrolliert werden kann. Dadurch werden die Router zu verdeckten Abhörstationen, die den gesamten Netzwerkverkehr überwachen können.
„Internet-Router sind immer noch ein beliebtes Ziel für Bedrohungsakteure, weil sie oft weniger gut gesichert sind, weniger strenge Passwortrichtlinien haben, selten aktualisiert werden und leistungsstarke Betriebssysteme verwenden können. Dadurch können sie mit Malware wie Cryptocurrency-Minern, Proxys, DDoS-Malware, bösartigen Skripten und Webservern infiziert werden“, so Trend Micro.