Attacke auf Mobilfunk-Gateways

Mirai-Botnet zielt auf Sierra-Wireless-Produkte

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Das Mirai Botnet infiziert gezielt Gateways von Sierra Wireless um diese für DDoS-Attacken auf Webseiten zu nutzen.
Das Mirai Botnet infiziert gezielt Gateways von Sierra Wireless um diese für DDoS-Attacken auf Webseiten zu nutzen. (Bild: gemeinfrei / CC0)

Das Mirai-Botnet infziert gezielt Gateway-Produkte von Sierra Wireless, zumindest wenn diese Standard-Kennwörter nutzen. Die Malware schreibt sich komplett in den Arbeitsspeicher und wartet auf Anweisungen vom Kontrollserver. Ein Neustart löscht die Infektion, allerdings muss auch das Kennwort geändert werden.

Das US CERT warnt Nutzer diverser Sierra Wireless Gateways vor dem Mirai-Botnet. Dieses geht gezielt auf Produkte aus der Airlink-Gateway-Reihe los und versucht sich mit einem Standard-Passwort beim ACEmanager anzumelden. Ist dies erfolgreich, versucht Mirai die Gateways mit Schadsoftware zu infizieren. Nach der Infektion löscht die Malware sämtliche Spuren auf dem System und arbeitet von da aus nur noch im Speicher der jeweiligen Gateways. Von dort aus wartet die Schadsoftware auf Angriffsanweisungen vom Kontrollserver oder versucht, weitere Netzwerkgeräte zu finden und zu infizieren.

Das Mirai-Botnet wurde vor allem durch DDoS-Attacken auf das Blog des Journalisten Brian Krebs bekannt. Angriffe auf Gateways wie die von Sierra Wireless sind ein gutes Beispiel dafür, wie sich diese Art von Botnets auf Internet-fähige Geräte fokussiert. Neben Gateways zielen Botnets wie Mirai oder Bashlight auf Kameras, Videorekorder oder ähnliche IoT-Produkte. Daraus entstehen riesige Netzwerke, die DDoS-Attacken im Terabit-Bereich durchführen.

Neustarten und Passwort ändern

Laut dem Bericht des US CERT ist Datenverkehr auf den Ports 23 TCP sowie 48101 TCP ein Hinweis auf eine Infektion. Der Port 48101 wird dabei für die Kommunikation mit dem Kontrollserver genutzt. Tritt plötzlich eine massive Datenverkehrspitze auf, ist dies ein Hinweis auf eine aktuell laufende DDoS-Attacke.

Da Mirai komplett im Arbeitsspeicher aktiv ist, reicht ein Neustart des befallenen Gerätes, um die Infektion zu löschen. Allerdings muss dabei auch das Kennwort des ACEmanagers geändert werden, wenn hier noch das Standardkennwort gesetzt ist, kann es zu einer erneuten Infektion kommen. Betroffen sind Sierra Wireless Gateways vom Typ LS300, GX400, GX/ES440, GX/ES450 und RV50. Alle Geräte sind Mobilfunk-Gateways für die Standards 3G, 4G und LTE.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44336893 / Sicherheitslücken)