Zwei bösartige Botnetze machen sich über veraltete D-Link-Router lustig und nutzen kritische Sicherheitslücken aus, um die Kontrolle über Geräte zu übernehmen und globale DDoS-Angriffe zu orchestrieren.

Router bleiben Hauptziele für Hacker © Shutterstock

Die Cybersicherheitsexperten von FortiGuard Labs haben in den letzten Tagen eine Zunahme bösartiger Aktivitäten festgestellt, die auf bestimmte Modelle von D-Link-Routern abzielen. Zwei Botnetze namens „Ficora“ und „Capsaicin“ nutzen vier große Schwachstellen (mit den Bezeichnungen CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 und CVE-2024-33112) auf nicht aktualisierten Geräten aus, die diese Router transformieren zu Vektoren für DDoS-Angriffe, Angriffe mit dem Ziel der Lähmung Websites. Einige davon befinden sich auch in Frankreich.

Botnetze greifen D-Link-Router mit bewährten Techniken an

Beginnen wir mit dem Ficora-Botnetz, bei dem es sich für Kenner um eine neue Variante des berüchtigten Mirai handelt, die nichts mit dem Toyota zu tun hat. Dieser weist seit Oktober 2024 eine sehr anhaltende Aktivität auf. Sein Betriebsmodus ist ausgefeilt: Er nutzt einen Fehler in der HNAP-Schnittstelle (ein Protokoll, das entwickelt wurde, um die Verwaltung und Konfiguration von Heimnetzwerken zu erleichtern) von D-Link-Routern (DIR-645, DIR-645, DIR-645, DIR-645, DIR-645, 806, GO-RT-AC750 und DIR-845L), um bösartige Befehle über die Funktion „GetDeviceSettings“ auszuführen. Die Angriffe kommen hauptsächlich von zwei identifizierten niederländischen Servern.

Was als nächstes passiert, ist interessant. Sobald der Zugriff erfolgt ist, setzt Ficora ein Skript namens „Multi“ ein, das die Haupt-Malware herunterlädt und ausführt. Letzteres verfügt über ein komplettes Arsenal, mit Brute-Force-Angriffen mit vorkonfigurierten Identifikatoren, Kompatibilität mit zahlreichen Linux-Architekturen (ARM, MIPS, x86…) und vor allem ausgefeilten DDoS-Angriffsfähigkeiten unter Ausnutzung der Protokolle UDP, TCP und DNS.

Das könnte Sie auch interessieren:  Grok: Neuer unangemessener Modus des Chatbots von Elon Musk in Planung

Ficora glänzt durch seine recht ausgedehnte geografische Verbreitung. Während Japan und die Vereinigten Staaten offenbar besonders ins Visier genommen werden, betreffen die Angriffe anfällige Router auf der ganzen Welt. Zu den Zielländern Europas gehören Frankreich, Spanien, Deutschland und Italien. Die Forscher, die im Oktober und November 2024 deutliche Aktivitätsspitzen feststellten, sprechen von einer ebenso massiven wie koordinierten Infektionskampagne.

Ein zweites Botnetz, diskreter, aber genauso gefährlich

Capsaicin wiederum weist ein anderes Profil auf. Diese Variante des Kaiten-Botnetzes, die der Keksec-Gruppe (bereits bekannt für EnemyBot) zugeschrieben wird, manifestierte sich kürzer und konzentrierte ihre Angriffe auf zwei bestimmte Tage: den 21. und 22. Oktober 2024. Ihr geografisches Ziel ist auch eingeschränkter. Es ist eher auf die Länder Ostasiens beschränkt.

Die Malware zeichnet sich hier durch ihre Fähigkeit aus, andere auf infizierten Geräten vorhandene Botnetze zu neutralisieren. Es verwendet ein Skript namens „bins.sh“, um Binärdateien mit dem Präfix „yakuza“ bereitzustellen, die für verschiedene Architekturen geeignet sind. Nach der Installation sammelt es Informationen über den Host und überträgt sie an seinen Command-and-Control-Server (C2), um zukünftige Angriffe zu koordinieren.

Diese Botnets nutzen Schwachstellen aus, die schon längst hätten behoben werden müssen. Einige stammen tatsächlich aus dem Jahr 2015, daher sind Sicherheitsupdates von entscheidender Bedeutung. Für Benutzer von D-Link-Routern ist daher Wachsamkeit unerlässlich. Erwägen Sie, die Firmware regelmäßig zu aktualisieren, Standardkennwörter zu ändern und nicht unbedingt erforderlichen Fernzugriff zu deaktivieren, um eine Gefährdung zu vermeiden.

Quelle : Fortinet