Gafgyt/Bashlite

Malware kapert Router und baut riesiges IoT-Botnet auf

| Redakteur: Jürgen Schreier

Neu ist Gafgyt nicht. Die Malware - sie attackiert Router - ist seit 2014 bekannt. Allerdings wurde jetzt eine "verbesserte" Variante von Gafgyt entdeckt, die auch die konkurrierende Malware JenX von den infizierten Geräten löscht. Dadurch stehen die infizierten Router mit ihrer kompletten Rechenleistung nur noch dem Gafgyt-Botnet zur Verfügung.

Firmen zum Thema

Von Gafgyt befallene Router schließen sich zu einem Botnet zusammen.
Von Gafgyt befallene Router schließen sich zu einem Botnet zusammen.
(Bild: gemeinfrei / Pixabay)

Gafgyt, auch bekannt als Bashlite, tauchte als Malware erstmals 2014 auf. Damals griff die Schadsoftware Geräte des Internet of Things (IoT), vorzugsweise Router, an und schloss die gekaperten Komponenten zu seinem schlagkräftigen Botnet zusammen. Jetzt haben die Sicherheitsforscher von Palo Alto Networks eine neue, verbesserte Variante von Gafgyt entdeckt, die nicht nur eine Scanner-Funktion nutzt, um neue, ungeschützte Router im Netz zu finden, sondern auch die konkurrierende Malware JenX von den infizierten Geräten löscht. Dadurch stehen infizierte Router mit ihrer kompletten Rechenleistung nur noch dem Gafgyt-Botnet zur Verfügung.

Router von Huawei, Realtek und Zyxel gefährdet

Betroffen von der neuen Malware sind laut Mitteilung des Security-Spezialisten 8com GmbH & Co. KG drei weit verbreitete Router-Modelle bekannter Hersteller: Der Huawei HG532, Realtek RTL81XX und der Zyxel P660HN-T1A, wobei letzteres Modell erst von der neuesten Gafgyt-Version betroffen ist. Die beiden Huawei- und Realtek-Modelle stehen auch im Fokus des JenX-Botnet. Um zu verhindern, dass beide Schädlinge auf demselben Gerät aktiv sind und um die Rechenleistung konkurrieren, haben die Gafgyt-Programmierer ihrer Malware die Fähigkeit mitgegeben, JenX von den infizierten Geräten zu löschen. So wird nicht nur ihr eigenes Botnet immer mächtiger, sondern das der Konkurrenz immer schwächer.

Doch was ist das Ziel des Gafgyt-Botnet? Derzeit sieht es so aus, als ob rein finanzielle Interessen dahinter stecken. Das Gafgyt-Botnet kann für Denial-of-Service-Angriffe gebucht werden, um Webseiten oder Server lahmzulegen. In seiner aktuellen Form scheint es das Botnet besonders auf Spiele-Server abgesehen zu haben, speziell auf solche, die die Valve Source Engine nutzen. Damit sind auch weltweit beliebte Spiele wie Counter-Strike oder Team Fortress 2 betroffen. Viele der attackierten Server werden dabei von Spielern privat gehostet und nicht etwa von Valve direkt.

Gafgyt: Das Botnet für den kleinen Geldbutel

Hinzu kommt, dass die Buchung des Gafgyt-Botnets so günstig ist, dass Spieler sie nutzen, um ihre Gegner und Rivalen im Spiel zu sabotieren. Sicherheitsforscher von Unit 42 haben für diese spezielle Dienstleistung Angebote bereits ab acht US-Dollar gefunden – und das nicht etwa im Darknet, sondern auf der beliebten Social-Media-Plattform Instagram. Die Accounts, die diese Werbung ausgespielt haben, wurden mittlerweile gelöscht, doch es dürfte nur eine Frage der Zeit sein, bis die Kriminellen sich neue Profile zulegen.

Um nicht selbst Teil dieses oder eines anderen Botnet zu werden, sollten Nutzer die zur Verfügung stehenden Sicherheitsupdates auch auf ihren IoT-Geräten aufspielen. In Anbetracht dessen, dass diese immer häufiger im Alltag anzutreffen sind, sollte das ebenso selbstverständlich sein wie das Update des Computers oder des Handys. Hier sind allerdings auch die Hersteller gefragt, die Updates zeitnah und unkompliziert zur Verfügung stellen müssen. Im Fall von Gafgyt könnte man auch darüber nachdenken, neue Hardware anzuschaffen, immerhin sind die betroffenen Modelle bereits einige Jahre alt und im Laufe der Jahre tauchen erfahrungsgemäß immer mehr Sicherheitslücken auf.

Das Cyber Defense Center von 8com schützt die digitalen Infrastrukturen von 8com-Kunden vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46224701)