IoT-Geräte als Waffen: Neue DDoS-Kampagne enthüllt : Matrix-Botnet missbraucht IoT-Geräte für Angriffe
Der Bedrohungsakteur Matrix nutzt Schwachstellen in IoT-Geräten, um sie in ein massives Botnet zu integrieren und damit großangelegte DDoS-Angriffe durchzuführen.
„Diese Operation ist ein All-in-One-Werkzeugkasten für Cyberangriffe“, erklärt Assaf Morag, Director of Threat Intelligence beim Cloud-Sicherheitsunternehmen Aqua. „Sie umfasst alles: das Scannen nach Schwachstellen, deren Ausnutzung, die Verbreitung von Malware und sogar die Einrichtung von Shop-Kits. Das Ganze bildet sozusagen einen Do-it-yourself-Ansatz für Angreifer.“ Hinweise deuten darauf hin, dass hinter den Angriffen ein einzelner Täter steckt, ein sogenannter „Skript-Kiddie“ russischer Herkunft. Ziel der Angriffe waren vor allem IP-Adressen in China und Japan, mit vereinzelten Angriffen in Argentinien, Australien, Brasilien, Ägypten, Indien und den USA. Auffällig ist, dass die Ukraine nicht zu den Zielen gehört, was laut Aqua darauf hindeutet, dass die Angriffe wahrscheinlich rein finanziell motiviert sind.
Die Methoden des Bedrohungsakteurs Matrix
Die Angreifer nutzen bekannte Sicherheitslücken und schwache oder voreingestellte Zugangsdaten, um eine Vielzahl von internetfähigen Geräten zu kompromittieren, darunter IP-Kameras, DVRs, Router und Telekommunikationsgeräte. Der Bedrohungsakteur wurde dabei beobachtet, wie er gezielt falsch konfigurierte Telnet-, SSH- und Hadoop-Server ausnutzte. Besonders im Fokus standen IP-Adressbereiche von großen Cloud-Dienstleistern wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud. Für seine Angriffe nutzt der Täter eine Vielzahl öffentlich zugänglicher Skripte und Tools von GitHub, um die Mirai-Botnet-Malware sowie andere Programme für DDoS-Angriffe auf kompromittierten Geräten und Servern zu installieren. Dazu gehören Tools wie:
- PYbot und pynet: Python-basierte Tools für Netzwerkanalysen und Angriffe,
- DiscordGo und Homo Network: Programme für automatisierte Angriffe,
- Ein JavaScript-Tool für HTTP/HTTPS-Flood-Angriffe,
- und ein Programm, das Microsoft Defender Antivirus auf Windows-Rechnern deaktivieren kann.
Außerdem wurde festgestellt, dass Matrix ein eigenes GitHub-Konto betreibt, das im November 2023 erstellt wurde, um Teile der für die Angriffe verwendeten DDoS-Tools zu entwickeln und bereitzustellen.
Vermarktung
Es wird vermutet, dass der Angriff als DDoS-for-hire-Service über einen Telegram-Bot namens „Kraken Autobuy“ vermarktet wird. Kunden können dort gegen Kryptowährungszahlungen verschiedene Angriffsoptionen buchen. „Obwohl diese Kampagne technisch nicht sehr anspruchsvoll ist, zeigt sie, wie leicht zugängliche Tools und grundlegendes technisches Wissen es Einzelpersonen ermöglichen, großangelegte Angriffe auf zahlreiche Schwachstellen und Fehlkonfigurationen vernetzter Geräte durchzuführen“, so Assaf Morag von Aqua. Er betont: „Die Einfachheit dieser Methoden macht deutlich, wie wichtig grundlegende Sicherheitsmaßnahmen sind – etwa das Ändern von Standardpasswörtern, die Absicherung von Verwaltungsprotokollen und regelmäßige Firmware-Updates –, um sich vor opportunistischen Angriffen wie diesem zu schützen.“
Die Enthüllung kommt zu einem Zeitpunkt, an dem NSFOCUS eine neue Botnet-Familie namens XorBot untersucht, die seit November 2023 gezielt Intelbras-Kameras sowie Router von NETGEAR, TP-Link und D-Link angreift.
Das Cybersicherheitsunternehmen berichtet, dass die Betreiber des Botnets zunehmend Geräte unter ihre Kontrolle bringen und ihre Infrastruktur nun für gewinnorientierte Zwecke nutzen. Unter dem Namen Masjesu wird das Botnet als Mietservice für DDoS-Angriffe angeboten.
Um einer Entdeckung zu entgehen, setzen die Betreiber auf fortgeschrittene Techniken wie das Einfügen von redundantem Code und die Verschleierung von Signaturen. Dadurch wird ihr Angriffsverhalten schwerer zu überwachen und zu analysieren – die Abwehr auf Dateiebene gelingt somit kaum noch.