MalwareIoT-SicherheitHackerangriffe

Masjesu-Botnet: Neuer DDoS-Dienst bedroht IoT-Geräte weltweit

Masjesu-Botnet: Neuer DDoS-Dienst bedroht IoT-Geräte weltweit
Zusammenfassung

Der Masjesu-Botnet ist ein neues, gefährliches DDoS-Mietservice-Angebot, das seit 2023 über Telegram aktiv vermarktet wird und sich auf die Kompromittierung von IoT-Geräten wie Routern, Kameras und NVR-Systemen spezialisiert hat. Das auch als XorBot bekannte Botnetz zielt systematisch auf Geräte populärer Hersteller wie D-Link, NETGEAR, TP-Link, Huawei und Realtek ab und infiziert diese mit Malware, um sie für massive DDoS-Attacken gegen Unternehmen, CDNs und Spielserver einzuspannen. Die Bedrohung ist besonders tückisch, weil sie bewusst unter dem Radar agiert, kritische Infrastrukturen meidet und sich selbst verbreitet. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhebliches Risiko: Millionen veralteter oder unzureichend gesicherter Router und IoT-Geräte in Deutschland könnten kompromittiert werden, ohne dass die Besitzer es bemerken. Befallene Netzwerkgeräte könnten dann in großflächige DDoS-Anschläge verwickelt werden. Für Unternehmen und Behörden entsteht die Gefahr, Ziel von gut organisierten, kommerziellen Angriffsoperationen zu werden, die von einer wachsenden kriminellen Infrastruktur professionell durchgeführt werden.

Das Masjesu-Botnet folgt einem neuen Geschäftsmodell der Cyberkriminalität: Es wird als DaaS (Denial-of-Service-as-a-Service) angeboten und kann von zahlungswilligen Kriminellen gemietet werden, um Zielnetze lahmzulegen. Erste Berichte über das System stammen vom chinesischen Sicherheitsunternehmen NSFOCUS aus dem Dezember 2023, das es damals unter der Bezeichnung XorBot katalogisierte und mit einem Operator namens “synmaestro” verband.

Das Botnet nutzt XOR-basierte Verschlüsselung, um Konfigurationen und Befehle zu verbergen. Seine Architektur ist bewusst auf Langlebigkeit ausgerichtet – es vermeidet gezielt IP-Bereiche des US-Verteidigungsministeriums und anderer kritischer Infrastrukturen, um nicht in Sichtweite von Strafverfolgungsbehörden zu geraten.

Besonders beunruhigend ist die kontinuierliche Weiterentwicklung: Im vergangenen Jahr wurden 12 verschiedene Exploits hinzugefügt, die Schwachstellen in Routern von TP-Link, NETGEAR, Huawei, D-Link und anderen Herstellern ausnutzen. Das Botnet kann sich selbst vermehren, indem es zufällige IP-Adressen nach offenen Ports scannt und kompromittierte Geräte automatisch in seine Infrastruktur integriert. Neu aufgenommene Ziele sind auch Realtek-Router, bei denen das Botnet den Port 52869 des miniigd-Daemons ausnutzt.

Nach erfolgreicher Kompromittierung etabliert das Malware-Skript Persistenz auf dem Gerät, verbindet sich über Port 55988 mit Kommando-Servern und wartet auf Anweisungen für DDoS-Attacken. Parallel deaktiviert es konkurrierende Malware wie wget und curl, um seine Kontrolle zu sichern.

Geografisch konzentrieren sich die meisten Angriffe auf Vietnam (knapp 50 Prozent), gefolgt von der Ukraine, Iran, Brasilien, Kenia und Indien. Das Botnet richtet sich primär gegen Content Delivery Networks, Gaming-Server und Unternehmensinfrastruktur.

Für deutsche Nutzer und Unternehmen bedeutet dies konkret: Ältere IoT-Geräte, insbesondere Router mit Standardpasswörtern, sind hochgradig gefährdet. Ein infiziertes Heimnetzwerk könnte unwissentlich für großflächige DDoS-Attacken missbraucht werden. Sicherheitsexperten empfehlen dringend, alle IoT-Geräte regelmäßig auf Sicherheitsupdates zu überprüfen, Standardzugangsdaten zu ändern und verdächtige Netzwerkaktivität zu überwachen.

Ähnliche Artikel