Rund 30.000 Geräte sind deutschlandweit mit der Malware BadBox infiziert. Dazu zählen Internet-of-Things-Geräte wie digitale Bilderrahmen oder Mediaplayer – die waren ab Werk mit der Schadsoftware ausgestattet; es sollen aber auch Smartphones und Tablets auf internationaler Ebene betroffen sein. Deren Kommunikation mit den Command-and-Control-Servern der kriminellen Hintermänner konnte das BSI nun unterbrechen.
Anzeige
Das BSI teilt am Donnerstag der Woche mit, dass in allen dem BSI bekannten Fällen bereits beim Kauf auf den jeweiligen Geräten – die typischerweise mit veralteten Android-Versionen daherkommen – die BadBox-Malware installiert war. Die Malware bietet eine Reihe Funktionen für die Drahtzieher an, mit denen sie Schaden anrichten können.
BadBox kann unbemerkt Konten für E-Mail- und Messenger-Dienste erstellen, über die etwa Fake-News verbreitet werden. Werbebetrug hat die Malware ebenfalls als Funktion eingebaut; sie kann im Hintergrund Webseiten ansurfen. Sie kann zudem als sogenannter Residential Proxy dienen, wodurch meist Kriminelle ihre Herkunft verschleiern. Die führen darüber dann illegale Aktionen wie Cyberangriffe oder Verbreitung illegaler Inhalte aus. Ins Visier von Strafverfolgern landen dann die IP-Adressen derjenigen, die solche infizierten Geräte betreiben.
Das BSI konnte nun mit einer sogenannten Sinkholing-Maßnahme die Kommunikation zwischen infizierten Geräten und Kontrollservern abwürgen. Dabei registriert die Behörde die für die Kommunikation der Malware genutzten Domains und leitet die Nachrichten auf eigene Server um.
Namen betroffener Produkte will das BSI nicht nennen, da baugleiche Varianten unter unterschiedlichen Namen im Netz vertrieben werden. Betroffene Verbraucher sollen durch ihre Internetprovider über den Verdacht einer Infektion informiert werden. Die einzelnen Provider liefern unterschiedliche Informationen aus; die Details können sich daher unterscheiden. Das BSI bittet darum, dass Empfänger diese Benachrichtigungen ernst nehmen und alle internetfähigen Geräte im lokalen Netz überprüfen. Betroffene Geräte sollten unverzüglich vom Netz getrennt werden. Aber auch Verbraucherinnen und Verbraucher, die nicht informiert wurden, sollten ihre Geräte überprüfen, empfiehlt das BSI weiter. Einen Pferdefuß hat die Empfehlung jedoch: Das BSI lässt offen, wie diese Überprüfung vorgenommen werden kann – es steht auch kein spezielles Tool dafür bereit. Indizien für eine Infektion (IOCs) listet das BSI ebenfalls nicht auf.
Das BSI empfiehlt weiter, bereits beim Kauf auf Sicherheitseigenschaften zu achten und erstandene Geräte gleich zu Anfang zu überprüfen. Empfehlenswert sei demnach zudem ein offizieller Hersteller-Support, aktuelle Versionen des jeweiligen Betriebssystems und ein Blick auf die Seriosität des Herstellers.
Immer wieder gelingen Strafverfolgern und IT-Sicherheitsbehörden Schläge gegen kriminelle Botnetze. Etwa Ende September konnte das US-amerikanische FBI das riesige IoT-Botnet "Raptor Train" aus Heim-Routern, Webcams und NAS-Geräten abschalten.
(
Kommentare