Menü
Security

Botnetz scannt das Internet mit Hilfe von gehackten Endgeräten

vorlesen Drucken Kommentare lesen 117 Beiträge

Ein bislang unbekannter Hacker hat eine Art Volkszählung des Internets umgesetzt: Für den Internet Census 2012 infizierte er cirka 420.000 schlecht geschützte Embedded Devices mit der nach seiner Auskunft harmlosen Botnetz-Software Carna. "Schlecht geschützt" bedeutet in diesem Fall, dass entweder gar keine Logindaten notwendig waren oder Standardwerte wie "root:root" oder "admin:admin" ans Ziel führten.

Der Hacker gibt auch auf Nachfrage von heise security keinerlei Details zu seiner Person bekannt. Die US-Newssite CNet schreibt, dass der Autor des Netzwerkscanningtools nmap, Gordon Lyon (Fyodor), selbst hinter dem Scan steht. Es dürfte sich hier jedoch um ein Missverständnis handeln: nmap wurde im Rahmen des Internet-Scans zwar verwendet. Es gibt darüber hinaus aber keinerlei Beleg, dass Fyodor tatsächlich selbst hinter der rechtlich mindestens zweifelhaften Aktion steht. Gegenüber heise security erklärte er auch: "Dies ist ein interessante Untersuchung, aber die eingesetzten Methoden sind eindeutig illegal und ich hatte damit nichts zu tun." Rechtlich zweifelhaft ist die Aktion, weil der Unbekannte die je nach Prozessorarchitektur zwischen 46 und 60 KByte große Botnetz-Software auf fremde Geräte hochlud, ohne die Eigentümer der Hardware zuvor zu kontaktieren.

Auf diese Weise konnte der Hacker die Scangeschwindigkeit vervielfachen. Rechtlichen Beistand holte sich der Hacker vor Start der Aktion jedenfalls keinen ein, wie er auf Nachfrage schrieb. Die Resultate der Scans packt der Volkszähler in faszinierende Grafiken. Er erfasst alle IP-Adressen, die mindestens zweimal zwischen Juni und Oktober 2012 auf eine der 52 Milliarden verschickten Ping-Anfrage reagiert haben. Insgesamt 420 Millionen IP-Adressen beziehungsweise Geräte antworteten auf die Anfrage.

Es blinkt so schön. Eine der GIF-Dateien stellt die Ping-Anfragen in einem Zeitraum von 24 Stunden auf der Weltkarte dar.

(Bild: Internetcensus2012 (GIF) )

Deutlich spannender ist jedoch ein anderes Ergebnis der Aktion: wie groß die Anzahl der schlecht gesicherten Netzwerkgeräte im Internet ist. Der Hacker verzichtete nach eigener Auskunft darauf, sich im jeweiligen Intranet umzusehen, zu dem die infizierten Geräte gehörten. Auf Nachfrage von heise security schrieb er, dass es "ein Leichtes" gewesen wäre den Botnetz-Code um entsprechende Funktionen zum Infiltrieren der Intranets zu erweitern.

Sein Bestreben, durch den Bot möglichst keinen Schaden anzurichten, untermauert der Unbekannte durch die Aussage, dass der Scan mit der niedrigsten Priorität ausgeführt wurde und die Binärdatei durch einen Neustart vom Gerät flog. Während der Zählung sorgten die umliegenden Bots aber dafür, dass der Bot-Code erneut installiert wurde.

Zusammen mit der Binary lud der Hacker noch eine Readme-Datei auf die Geräte hoch. Sie erklärte das Projekt und nannte eine E-Mail-Adresse für Rückfragen. Lediglich zwei Anfragen gingen in diesem Postfach ein. Beide Fragen stammten von Betreibern von Honeypots, die der Internet-Scanner infiziert hatte. (Uli Ries) / (kbe)