IoT-SicherheitHackerangriffeMalware

Masjesu-Botnet: Gefährliche DDoS-Waffe zielt auf IoT-Geräte weltweit ab

Masjesu-Botnet: Gefährliche DDoS-Waffe zielt auf IoT-Geräte weltweit ab
Zusammenfassung

Das Botnetz Masjesu hat sich seit mindestens 2023 als gefährliches Werkzeug für massive DDoS-Anschläge etabliert und zielt gezielt auf IoT-Geräte weltweit ab. Sicherheitsforscher von Trellix haben jetzt die Funktionsweise dieses Botnetzes analysiert, das über Telegram von seinen Betreibern beworbenen wird und bereits über 400 Abonnenten versammelt hat. Das Netzwerk konzentriert sich auf Persistenz und Langzeitbestand, statt wahllos Millionen von Geräten zu infizieren – eine Strategie, die es schwerer zu entdecken macht. Die Malware exploitiert bekannte Sicherheitslücken in beliebten Routern und IoT-Geräten von Herstellern wie D-Link, Huawei, Netgear und anderen, wodurch auch deutsche Haushalte und Unternehmen potenziell gefährdet sind. Für deutsche Nutzer und Betriebe ist dies deshalb relevant, weil die gleichen Router- und Gateway-Modelle auch hierzulande weit verbreitet sind. Insbesondere KMUs und Privatpersonen mit veralteter oder unsicher konfigurierter IoT-Infrastruktur könnten unwissentlich Teil dieses Botnetzwerks werden und ihre Bandbreite für Cyberanschläge missbraucht.

Die von Trellix durchgeführte Analyse offenbart ein hochentwickeltes Schadprogramm, das gezielt auf Persistenz und Vermeidung von Erkennung ausgerichtet ist. Anders als viele andere Botnets versucht Masjesu nicht, wildwüchsig zu wachsen, sondern konzentriert sich auf ausgewählte Ziele und vermeidet bewusst gesperrte IP-Adressen sowie kritische Infrastruktur.

Technische Raffinesse und Verbreitungswege

Die Ausbreitung von Masjesu erfolgt über bekannte Sicherheitslücken in gängigen Netzwerkgeräten. Betroffen sind D-Link-Router, GPON-Router, Huawei-Gateways, MVPower-DVRs, Netgear-Router und UPnP-Services. Das Schadprogramm unterstützt mehrere Prozessor-Architekturen – i386, MIPS, ARM, SPARC, PPC, 68K und AMD64 – was auf eine breit angelegte Strategie hindeutet.

Zur Verschleierung seiner Aktivitäten verschlüsselt Masjesu sensible Daten wie C&C-Domains und Prozessnamen in Nachschlagetabellen. Das Schadprogramm benennt sich selbst in legitime Linux-Systemkomponenten um und erstellt Cron-Jobs, die die Malware alle 15 Minuten ausführen – eine bewährte Methode zur Persistierung.

Aggressives Verhalten und DDoS-Kapazitäten

Ein besonders aggressives Merkmal: Masjesu terminiert häufig verwendete Befehle wie wget und curl und sperrt gemeinsame temporäre Ordner. Dies ist vermutlich ein Mechanismus, um Konkurrenz-Botnets von infizierten Geräten fernzuhalten. Das Netzwerk selbst scannt automatisch zufällige IP-Adressen im Internet, um neue verwundbare Ziele zu identifizieren.

Die DDoS-Attacken-Palette ist beeindruckend vielfältig: UDP-, TCP-, VSE-, GRE-, RDP-, OSPF-, ICMP- und IGMP-Floods sowie TCP-SYN-, TCP-ACK-, TCP-ACKPSH- und HTTP-Attacken. Mit über 400 Abonnenten im Telegram-Kanal des Betreibers und einer verteilten Infrastruktur über mehrere Autonomous Systems verfügt Masjesu über erhebliche Angriffskapazitäten.

Globale Bedrohung mit dezentraler Struktur

Die Trellix-Analyse deutet darauf hin, dass Masjesu nicht auf einem einzelnen VPS-Provider gehostet wird, sondern über verschiedene Netzwerke verteilt ist. Dies macht die Botnet-Infrastruktur resilienter gegen Takedown-Versuche. Mit Schwerpunkten in Vietnam, Brasilien, Indien und anderen Ländern zeigt sich eine globale Bedrohung, die auch deutsche Netzbetreiber und Unternehmensinfrastrukturen gefährden könnte.

Für Betreiber von IoT-Geräten ist eine sofortige Überprüfung und das Schließen bekannter Sicherheitslücken essentiell.

Ähnliche Artikel