Microsoft hat am Donnerstag ein plattformübergreifendes Botnetz entdeckt, das hauptsächlich darauf abzielt, Distributed-Denial-of-Service (DDoS)-Angriffe gegen private Minecraft-Server zu starten.
Das Botnet mit dem Namen MCCrash zeichnet sich durch einen einzigartigen Verbreitungsmechanismus aus, der es ihm ermöglicht, sich auf Linux-basierte Geräte auszubreiten, obwohl es von bösartigen Software-Downloads auf Windows-Hosts ausgeht.
„Das Botnet verbreitet sich, indem es die Standard-Anmeldedaten auf internetfähigen Secure Shell (SSH)-Geräten auflistet“, so das Unternehmen in einem Bericht. „Da IoT-Geräte in der Regel für die Fernkonfiguration mit potenziell unsicheren Einstellungen aktiviert sind, könnten diese Geräte für Angriffe wie dieses Botnet anfällig sein.
Das bedeutet auch, dass die Schadsoftware auf den IoT-Geräten verbleiben könnte, selbst wenn sie vom infizierten Quell-PC entfernt wurde. Die Cybersecurity-Abteilung des Tech-Giganten verfolgt den Aktivitätscluster unter dem neuen Namen DEV-1028.
Die meisten Infektionen wurden aus Russland gemeldet, in geringerem Umfang auch aus Kasachstan, Usbekistan, der Ukraine, Weißrussland, Tschechien, Italien, Indien und Indonesien. Das Unternehmen hat das genaue Ausmaß der Kampagne nicht bekannt gegeben.
Der ursprüngliche Infektionspunkt für das Botnetz ist ein Pool von Rechnern, die durch die Installation von Cracking-Tools kompromittiert wurden, die vorgeben, illegale Windows-Lizenzen zu liefern.
Die Software dient dann als Kanal, um eine Python-Nutzlast auszuführen, die die Kernfunktionen des Botnetzes enthält, einschließlich der Suche nach SSH-fähigen Linux-Geräten, um einen Wörterbuchangriff zu starten.
Nach dem Eindringen in einen Linux-Host mithilfe der Verbreitungsmethode wird dieselbe Python-Nutzlast eingesetzt, um DDoS-Befehle auszuführen, von denen einer speziell darauf ausgerichtet ist, Minecraft-Server zum Absturz zu bringen („ATTACK_MCCRASH“).
Microsoft beschreibt die Methode als „hocheffizient“ und weist darauf hin, dass sie wahrscheinlich in Untergrundforen als Service angeboten wird.
„Diese Art von Bedrohung unterstreicht, wie wichtig es ist, dass Unternehmen nicht nur traditionelle Endgeräte, sondern auch IoT-Geräte, die oft weniger sicher sind, verwalten, auf dem neuesten Stand halten und überwachen“, so die Forscher David Atch, Maayan Shaul, Mae Dotan, Yuval Gordon und Ross Bevington.
Die Ergebnisse kommen wenige Tage, nachdem Fortinet FortiGuard Labs Details über ein neues Botnetz namens GoTrim veröffentlicht hat, das beobachtet wurde, wie es selbst gehostete WordPress-Websites ausspioniert.