Der Matrix-Angriff führt Router in die Irre
Update, 27. November 2024: Diese Geschichte, die ursprünglich am 26. November veröffentlicht wurde, enthält nun zusätzliche Informationen zu den ersten Zugangswegen der Matrix-Kampagne.
Ihr Heimrouter läuft möglicherweise langsam, da er Teil der Matrix geworden ist ein neu veröffentlichter Bericht von Assaf Morag, dem Direktor von Aqua Nautilus Threat Intelligence bei Aqua Security. Hier erfahren Sie, was Sie über diesen neuen und weit verbreiteten Cyberangriff wissen müssen.
35 Millionen Maschinen könnten Teil der Matrix werden, sagen Forscher
Angesichts der Tatsache, dass weltweit fast 35 Millionen Geräte als anfällig eingestuft werden, haben Threat-Intelligence-Forscher von Aqua Nautilus gewarnt, dass Matrix die Internetgeschwindigkeit für Heimanwender der betroffenen Geräte verlangsamen könnte Router und Unternehmen werden Betriebsstörungen, Cyberkriminalität und Reputationsschäden ausgesetzt.
Die verteilte Denial-of-Service-Kampagne wurde von einem Bedrohungsakteur namens Matrix ins Leben gerufen, sagte Morag und „zeigt einen wachsenden Trend unter Bedrohungsakteuren, Schwachstellen und Fehlkonfigurationen auf mit dem Internet verbundenen Geräten, insbesondere IoT- und Unternehmenssystemen, ins Visier zu nehmen.“ Im Fall von Matrix hat die DDoS-Kampagne eine ganze Reihe von Dingen kombiniert, um ein beeindruckendes Botnetz zu schaffen: öffentliche Skripte, Brute-Force-Angriffe sowie Schwache Ausbeutung von Anmeldeinformationen.
Der Aqua-Security-Bericht legt nahe, dass der Matrix-Bedrohungsakteur wahrscheinlich ein Russe ist, aber da ukrainische Opfer nicht direkt ins Visier genommen werden, scheint die Motivation in diesem Fall eher rein finanzieller als politischer Natur zu sein. Was die Bedrohungsinformationen jedoch verdeutlichen, ist die kontinuierliche Entwicklung der DDoS-Bedrohung in einer sich ständig verändernden Landschaft, „in der sogar Script-Kiddies Open-Source-Tools nutzen können, um anspruchsvolle und groß angelegte Kampagnen durchzuführen“, sagte Morag.
Erforschte Matrix-Angriffs-Erstzugriffsvektoren
In der Analyse des Berichts sagte Morag, dass der Matrix-Angreifer durch die Zusammenstellung öffentlich verfügbarer Hacking-Skripte zusammen mit anderen Tools, um allgemein bekannte Standardkennwörter auszunutzen, einschließlich solcher, die in Geräten fest codiert sind, ersten Zugriff auf eine breite Palette von Internet- angeschlossene Geräte und Server, nicht nur Router. Dazu gehörten beispielsweise mit dem Internet verbundene Kameras, digitale Videorecorder und Telekommunikationsgeräte.
„Zusätzlich zu IoT-Geräten“, sagte Morag, „greifen die Angreifer auch gängige Protokolle und Anwendungen wie Telnet, SSH, Hadoop und HugeGraph an und nutzen Schwachstellen und Fehlkonfigurationen aus, um Zugriff auf eine robustere Serverinfrastruktur zu erhalten.“ Leider handelt es sich bei vielen der Angriffe, mit denen ein solcher Erstzugriff auf verbundene Geräte erlangt werden soll, um Standard-Brute-Force-Anmeldeversuche mit Anmeldeinformationen. Es wurde festgestellt, dass diese „gängige Standardanmeldeinformationen wie admin:admin oder root:camera“ verwendeten, erklärte Morag, „die weiterhin auf ungeschützten Geräten weit verbreitet sind, was sie besonders anfällig für Kompromittierungen macht.“ Und sobald eines dieser Geräte kompromittiert wurde, werden sie natürlich zu sehr wertvollen Vermögenswerten im Rahmen einer viel größeren Operation, als ein Angreifer, der ein einzelnes gehacktes Gerät verwendet, jemals zu erreichen hoffen würde.
Zu den ersten Zugriffswegen des Matrix-Angreifers gehörten insbesondere:
- Angriffe auf Router, einschließlich ZTE- und GPON-Modelle, nutzen Schwachstellen wie CVE-2017-18368, einen Befehlsinjektionsfehler, und CVE-2021-20090 aus, die verschiedene Geräte betrifft, auf denen Arcadyan-Firmware ausgeführt wird.
- Angreifer nutzen Schwachstellen in Überwachungsgeräten aus, die die Hi3520-Plattform nutzen, um unbefugten Zugriff und Befehlsausführung über HTTP zu ermöglichen.
- Geräte, auf denen leichtgewichtige Linux-Distributionen wie uClinux laufen, werden ins Visier genommen und nutzen Standardkonfigurationen und -dienste, einschließlich UPnP-Schwachstellen in Huawei- und Realtek-Geräten.
- Die Kampagne zielt auch auf Schwachstellen in den YARN- und HugeGraph-Servern von Apache Hadoop ab, ermöglicht die Remote-Codeausführung und weitet den Angriff über IoT-Geräte hinaus auf Unternehmenssoftware aus.
Matrix zeigt, wie ein One-Stop-Shop für alle Ihre DIY-Anforderungen an Cyberangriffe möglich ist
Morag erwähnt Drehbuchkinderjene kriminellen Hacker mit einem geringen Maß an technischen und Programmierkenntnissen, und das aus einem sehr guten Grund: Mehrere Indikatoren deuten darauf hin, dass Matrix ein einzelner Bedrohungsakteur und keine Cyberkriminalitätsgruppe ist, und noch dazu ein Skript-Kiddie. Nichts davon hätte sie offenbar davon abgehalten, einen globalen Angriff solch großen Ausmaßes zu inszenieren. „Mit der Verbreitung künstlicher Intelligenz-Tools und einer Fülle von Plug-and-Play-Hacking-Tools“, warnte Morag, „stellen Script-Kiddies heute eine größere Bedrohung dar als je zuvor.“
Zumindest aus der evolutionären Perspektive der Cyberkriminalität ist jedoch interessant, wie diese Angriffskampagne eine Hybridisierung von Softwareentwicklungs-Lebenszyklusservern markiert Geräte für das Internet der Dinge. Wenn ein solcher Begriff traditionell auf Cyberkriminalität anwendbar ist, wird ersterer hauptsächlich für Krypto-Mining-Aktivitäten und letzterer für DDoS-Botnetze verwendet. „Diese Verschiebung könnte ein zunehmendes Interesse daran signalisieren, Unternehmensschwachstellen und Fehlkonfigurationen für DDoS-Aktivitäten auszunutzen“, sagte Morag.
Obwohl man die Kampagne an sich kaum als anspruchsvoll bezeichnen kann, ist es dem Matrix-Bedrohungsakteur gelungen, deutlich zu machen, wie ein wenig technisches Know-how und viele leicht zugängliche Tools zusammen ein beeindruckendes DDoS-Angriffs-Botnetz entstehen lassen.
Um der Matrix zu entkommen, müssen Sie sicherstellen, dass Ihre Router mit der neuesten Firmware aktualisiert sind, über sichere Administratorkennwörter verfügen und sich nicht auf Standardanmeldeinformationen verlassen.
/cdn.vox-cdn.com/uploads/chorus_asset/file/23951560/VRG_Illo_STK178_L_Normand_SatyaNadella_Neutral.jpg?w=238&resize=238,178&ssl=1 "Gegen Microsoft wird von der FTC wegen kartellrechtlicher Bedenken ermittelt")
