Suchen

Attacke auf Mobilfunk-Gateways Mirai-Botnet zielt auf Sierra-Wireless-Produkte

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Das Mirai-Botnet infziert gezielt Gateway-Produkte von Sierra Wireless, zumindest wenn diese Standard-Kennwörter nutzen. Die Malware schreibt sich komplett in den Arbeitsspeicher und wartet auf Anweisungen vom Kontrollserver. Ein Neustart löscht die Infektion, allerdings muss auch das Kennwort geändert werden.

Firma zum Thema

Das Mirai Botnet infiziert gezielt Gateways von Sierra Wireless um diese für DDoS-Attacken auf Webseiten zu nutzen.
Das Mirai Botnet infiziert gezielt Gateways von Sierra Wireless um diese für DDoS-Attacken auf Webseiten zu nutzen.
(Bild: gemeinfrei / CC0 )

Das US CERT warnt Nutzer diverser Sierra Wireless Gateways vor dem Mirai-Botnet. Dieses geht gezielt auf Produkte aus der Airlink-Gateway-Reihe los und versucht sich mit einem Standard-Passwort beim ACEmanager anzumelden. Ist dies erfolgreich, versucht Mirai die Gateways mit Schadsoftware zu infizieren. Nach der Infektion löscht die Malware sämtliche Spuren auf dem System und arbeitet von da aus nur noch im Speicher der jeweiligen Gateways. Von dort aus wartet die Schadsoftware auf Angriffsanweisungen vom Kontrollserver oder versucht, weitere Netzwerkgeräte zu finden und zu infizieren.

Das Mirai-Botnet wurde vor allem durch DDoS-Attacken auf das Blog des Journalisten Brian Krebs bekannt. Angriffe auf Gateways wie die von Sierra Wireless sind ein gutes Beispiel dafür, wie sich diese Art von Botnets auf Internet-fähige Geräte fokussiert. Neben Gateways zielen Botnets wie Mirai oder Bashlight auf Kameras, Videorekorder oder ähnliche IoT-Produkte. Daraus entstehen riesige Netzwerke, die DDoS-Attacken im Terabit-Bereich durchführen.

Neustarten und Passwort ändern

Laut dem Bericht des US CERT ist Datenverkehr auf den Ports 23 TCP sowie 48101 TCP ein Hinweis auf eine Infektion. Der Port 48101 wird dabei für die Kommunikation mit dem Kontrollserver genutzt. Tritt plötzlich eine massive Datenverkehrspitze auf, ist dies ein Hinweis auf eine aktuell laufende DDoS-Attacke.

Da Mirai komplett im Arbeitsspeicher aktiv ist, reicht ein Neustart des befallenen Gerätes, um die Infektion zu löschen. Allerdings muss dabei auch das Kennwort des ACEmanagers geändert werden, wenn hier noch das Standardkennwort gesetzt ist, kann es zu einer erneuten Infektion kommen. Betroffen sind Sierra Wireless Gateways vom Typ LS300, GX400, GX/ES440, GX/ES450 und RV50. Alle Geräte sind Mobilfunk-Gateways für die Standards 3G, 4G und LTE.

(ID:44336893)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist