Kürbisfinsternis

 (blog.lumen.com)
1 Punkte von GN⁺ 2024-06-01 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung des Berichts von Black Lotus Labs

Überblick über den Vorfall

  • Zeitpunkt des Vorfalls: Vom 25. bis 27. Oktober 2023 gingen innerhalb von 72 Stunden mehr als 600.000 Small-Office/Home-Office-(SOHO)-Router eines einzelnen Internet Service Providers (ISP) offline.
  • Auswirkungen: Infizierte Geräte wurden dauerhaft funktionsunfähig und mussten hardwareseitig ersetzt werden.
  • Hauptursache: Ein Remote Access Trojan (RAT) namens „Chalubo“ wurde als Hauptursache identifiziert.

Der Chalubo-Trojaner

  • Erstentdeckung: Wurde erstmals 2018 entdeckt.
  • Merkmale:
    • Entfernt alle Dateien von der Festplatte und läuft im Arbeitsspeicher.
    • Verwendet zufällige Prozessnamen, die auf dem Gerät bereits existieren.
    • Verschlüsselt die gesamte Kommunikation mit den Command-and-Control-(C2)-Servern.
  • Funktionen: Kann DDoS-Angriffe ausführen und Lua-Skripte ausführen.

Infektionsablauf

  • Erster Zugriff: Sehr wahrscheinlich wurden schwache Zugangsdaten oder exponierte Verwaltungsoberflächen ausgenutzt.
  • Infektionsschritte:
    • Erste Stufe: Zugriff auf den initialen Payload-Server über das Bash-Skript get_scrpc.
    • Zweite Stufe: Zusätzliche Skripte und Payloads werden heruntergeladen und ausgeführt.
    • Wichtige Dateien: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs usw.

Globale Infektionslage

  • Aktivität: Von November 2023 bis Anfang 2024 war die Chalubo-Malware sehr aktiv.
  • Infizierte IP-Adressen: Mit Stand vom 30. Oktober 2023 waren mehr als 330.000 eindeutige IP-Adressen infiziert.

Fazit

  • Besonderheit: Dieser Angriff war auf ein bestimmtes ASN begrenzt, betraf jedoch mehr als 600.000 Geräte.
  • Angriffsabsicht: Geräte wurden durch ein absichtlich eingespieltes Firmware-Update funktionsunfähig gemacht.
  • Sicherheitsempfehlungen:
    • Organisationen, die SOHO-Router verwalten: Keine Standardpasswörter verwenden und Verwaltungsoberflächen besser absichern.
    • Allgemeine Nutzer: Router regelmäßig neu starten und Sicherheitsupdates installieren.

Meinung von GN⁺

  • Interessanter Punkt: Dieser Vorfall war auf einen einzelnen ISP beschränkt und ist äußerst ungewöhnlich, weil ein Austausch von Hardware in großem Umfang erforderlich war.
  • Notwendigkeit stärkerer Sicherheit: Die Absicherung von SOHO-Routern und IoT-Geräten ist dringend geboten.
  • Technische Lehre: Malware entwickelt fortschrittlichere Techniken zur Umgehung von Erkennung, etwa die ausschließliche Ausführung im Arbeitsspeicher und verschlüsselte Kommunikation.
  • Alternative Lösungen: Es ist sinnvoll, andere Sicherheitslösungen oder Projekte mit ähnlichen Funktionen zu prüfen.
  • Zu berücksichtigende Punkte bei der Einführung: Bei der Einführung neuer Sicherheitstechnologien sollten die Kompatibilität mit bestehenden Systemen und die einfache Verwaltung berücksichtigt werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-01
Hacker-News-Kommentare
  • Firmware-Probleme: Träumt davon, zur Behebung von durch Firmware-Probleme verursachten Problemen die Schreibfreigabeleitung des Flash-Chips zu blockieren und tägliche Neustarts zu planen.
  • Erfahrung mit Satellitenreceivern: Wie schon bei Satellitenreceivern vor 20 Jahren sollte man alle mit dem Internet verbundenen Geräte als anfällig für elektronische Gegenmaßnahmen betrachten.
  • Update-Überwachung: Es wird ein System benötigt, das Geräte-Updates überwacht und bei einem Update benachrichtigt.
  • Zu wenige Details im Artikel: Dem Artikel fehlen interessante Details. Es wird gefragt, ob der Router standardmäßig offene Ports und Dienste hatte.
  • Firmware-Vergleich: Frage, ob sich verschiedene Firmware-Versionen vergleichen lassen.
  • OpenWrt-Nutzung: Offenbar verwenden die meisten Leute OpenWrt und das Vendor-SDK.
  • Verdacht auf bösartiges Update: Verdacht, dass der Vendor ein bösartiges oder beschädigtes Update ausgeliefert hat.
  • Fehlende offizielle Stellungnahme des ISP: Frage, warum es keine offizielle Stellungnahme des ISP gibt. Wenn es ein Angriff war, müsste er untersucht werden.
  • Umgang in den USA: Frage, wie mit solchen Problemen in den USA umgegangen wird.
  • Mögliche Bot-Infektion: Möglichkeit, dass die Geräte mit einem Bot infiziert waren und der Vendor ein Update verteilt hat, das alles kaputt gemacht hat.
  • Benachrichtigung über Sicherheitsvorfälle nötig: Als Kunde möchte man über Sicherheitsvorfälle informiert werden.
  • Bitte um Link zum Firmware-Image: Bitte um einen Link zum Firmware-Image des betroffenen Geräts oder um weitere Details.
  • Traffic-Logs: Frage, woher Black Lotus Labs anhand von Traffic-Logs weiß, wie IPs miteinander kommunizieren.
  • Zweifel an der Sicherheit von Tor: Frage, ob die Sicherheit von Tor wirklich verlässlich ist.
  • x86-Boxen und OpenWrt: Bevorzugt den Kauf einer kleinen x86-Box mit Dual-NIC, auf der OpenWrt läuft. Open Source, viel Unterstützung, gute Community, Wireguard-Support.
  • Vorschlag zu HN-Karmapunkten: Vorschlag, auf HN Einreichern Karmapunkte zu geben, wenn sie Clickbait-Titel verbessern.
  • Nützliche Empfehlungen der kanadischen Regierung: Link zu nützlichen Empfehlungen der kanadischen Regierung.
  • Backdoor und Firmware-Bugs: Was passiert, wenn man auf 600.000 Routern eine Backdoor installiert und Firmware-Bugs einführt.
  • Stufenweise Auslieferung von Updates: Frage, ob sich Updates nicht stufenweise ausrollen lassen.
  • Bedeutung des Artikeltitels: Frage nach der Bedeutung des Artikeltitels.
  • Verwirrender Titel: Für alle, die der Titel verwirrt hat: Es geht um die Zerstörung von 600.000 einzelnen Routern.
  • Verwandter Artikel: Link zu einem verwandten Artikel von Ars Technica.