Truebot und Mirai: neue Aktivitäten und Risiken

11. September, 2023

Eine Mitteilung der CISA (Cybersecurity and Infrastructure Security Agency) und ihrer Partner warnt vor einer neuen Truebot-Kampagne. Aktuelle Aktivitäten richten sich vor allem gegen Organisationen in USA und Kanada sowie vereinzelt in Großbritannien. Den Analysen zufolge wird die Botnet-Malware über Phishing-Kampagnen mit schädlichen Links sowie unter Ausnutzung einer bekannten Sicherheitslücke in der Anwendung Netwrix Auditor zur Remotecodeausführung (CVE-2022-31199) eingesetzt. [1]

Wie arbeiten Truebot und Mirai?

Das Besondere an der Warnung: Truebot wurde erstmals 2017 entdeckt – und ist auch sechs Jahre später noch erfolgreich. Ebenso bricht das Mirai-Botnet, erstmals 2016 entdeckt, weiterhin Rekorde, indem es die größten und verheerendsten DDoS-Angriffe (Distributed Denial of Service) verursacht. [2]

Mirai und Truebot sind beide verbreitete Softwarevarianten, die darauf abzielen, unsichere IT- und IoT-Geräte zu infizieren und in riesige Botnetze einzubinden. Beide Malware-Typen sind in der Lage, DDoS-Angriffe durchzuführen, indem sie mit einer Vielzahl infizierter Geräte massive Netzwerküberlastungen erzeugen. Die Angreifer nutzen Fehlkonfigurationen und aktuelle Schwachstellen aus, um Zugriff auf die Zielgeräte zu erlangen. Wiederholt verdeutlichen sie die wachsenden Sicherheitsbedenken im Zusammenhang mit vernetzten Geräten. Trotz dieser Gemeinsamkeiten haben Mirai und Truebot individuellen Eigenschaften und Funktionalitäten, die es zu verstehen gilt, um sie zu erkennen und effektive Gegenmaßnahmen zu ergreifen.

Mirai nutzt Standard-Passwörter und Schwachstellen in verbreiteten IoT-Systemen

Die bekannte IoT-Malware Mirai ist erstmals 2016 aufgetreten ist. Sie infiziert unsichere vernetzte Geräte, um riesige Botnetze zu bilden, die für DDoS-Angriffe eingesetzt werden.

Mirai hat Schwachstellen in der Sicherheit von IoT-Geräten verdeutlicht und unterstreicht die Notwendigkeit, die Standard-Konfigurationen der Geräte sofort zu ändern und diese Geräteklasse sicherheitstechnisch nicht zu vernachlässigen. Ohne dass sich die Angriffsszenarien besonders verändert oder weiterentwickelt haben, scheint diese Bedrohung nach wie vor aktuell.

Wirkungsvolle Sicherheitsmaßnahmen zur Absicherung von IoT-Geräten sind bekannt. Schon einfache Änderungen können das Risiko deutlich minimieren, um Angriffe frühzeitig zu erkennen oder ganz zu verhindern.

Truebot entwickelt sich mit flexiblen Submodulen ständig weiter

Anders bei Truebot, das Ergebnis langwieriger Entwicklungsarbeit von Cyberkriminellen. Die Malware wurde erstmals identifiziert, als Sicherheitsforscher anhand verdächtiger Aktivitäten in verschiedenen Netzwerken auf ungewöhnliche Muster stießen.

Die Analyse offenbarte eine komplexe Struktur, bei der infizierte Computer zu einem Botnetz verbunden waren und von einem zentralen Steuerungsserver aus gesteuert wurden. Die Entwickler von Truebot hatten gezielt Schwachstellen in Software und Betriebssystemen ausgenutzt, um die Infektion zu verbreiten. DIe Botnet-Malware setzt ausgeklügelte Verschleierungstechniken ein, um die Erkennung durch Sicherheitslösungen zu erschweren. Insgesamt war Truebot aufgrund seiner Vielseitigkeit, seiner komplexen Struktur und seiner Fähigkeit, verschiedene Schwachstellen auszunutzen und sich dabei zu tarnen, eine besonders herausragende und bedrohliche Malware-Variante. Alternativ ist die Schadsoftware auch unter der Bezeichnung „Silence.Downloader“ bekannt.

Das Advisory der CISA enthält eine Liste von Malware und Tools, die zusammen mit Truebot eingesetzt werden, darunter die wurmfähige Malware Raspberry Robin, das Fernzugriffstool Flawed Grace, das Penetrationstest-Tool Cobalt Strike und das Datenexfiltrationstool Teleport. Auch eine vollständige technische Aufschlüsselung einschließlich der Indikatoren für eine Kompromittierung ist enthalten.

Die aktuelle Warnung zeigt, wie sich bekannte Bedrohungen dynamisch an neue Anforderungen anpassen und nach wie vor eine große Gefahr darstellen können. Wer sich einmal gegen Truebot abgesichert hat, darf nicht darauf vertrauen, weiterhin vor neuen Angriffen sicher zu sein.

Wie sind die aktuellen Entwicklungen von Truebot und Mirai zu interpretieren?

Mirai und Truebot haben schon bei ihrem ersten Auftreten die Risiken durch die massive Verbreitung unsicherer IoT-Geräte und die Fähigkeit von Cyberkriminellen, diese Geräte zu finden, zu infizieren und in gefährliche Botnetze zu verwandeln, aufgezeigt. Die erfolgreichen DDoS-Angriffe, die von Mirai und Truebot orchestriert wurden, verdeutlichen, wie leicht angreifbare Geräte zu einer erheblichen Bedrohung für die Stabilität von Netzwerken und Online-Diensten werden können.

Die erneuten Angriffswellen unterstreichen die Wichtigkeit und Dringlichkeit von Überwachungsmaßnahmen, um sowohl auf Geräteebene als auch auf Netzwerkebene entweder Infektionen zu verhindern oder zumindest infizierte Geräte rechtzeitig identifizieren zu können. Um die Integrität und Stabilität der eigenen digitalen Systeme zu erhalten, ist eine dauerhafte Betrachtung der Sicherheit von vernetzten Geräten und IoT-Infrastrukturen essenziell.