Social Engineering

Hacking-Bot bittet um Hilfe zur Flucht aus Belarus

Bot, KI-Agenten

Ein weltweiter Brute-Force-Bot sucht nach schlecht gesicherten Servern und transportiert dabei eine Hilfeerklärung eines angeblichen Programmierers.

Sicherheitsexperten und Administratoren haben eine ungewöhnliche Aktivität in den Protokolldateien von Internet-Servern registriert. Ein automatisierter Bot scannt weltweit IP-Adressen und versucht, über standardisierte Zugangsdaten Zugriff auf Systeme zu erlangen. Auffällig ist dabei der aufgerufene Pfad der HTTP-Anfragen, welcher eine Bitte um Hilfe zur Flucht aus Belarus enthält. Das SANS Internet Storm Center dokumentierte diese Anfragen in seinen Honeypots. Die Zugriffe erfolgen von wechselnden, weltweit verteilten IP-Adressen, darunter Standorte in Singapur und Stockholm. Experten gehen davon aus, dass der Akteur kompromittierte Geräte wie infizierte Router oder Smart-TVs nutzt, um die Herkunft der Scans zu verschleiern.

Anzeige

Urheber bezeichnet Schadsoftware als Performance

Ein Administrator erhielt eine Rückmeldung von dem mutmaßlichen Entwickler des Programms. Auf einer einfachen Webseite ohne Skripte stellt sich dieser als ein 27-jähriger Ingenieur namens Alex aus Belarus dar. Er begründet die Aktion mit seiner persönlichen Situation, darunter der dortigen Wehrpflicht, den wirtschaftlichen Sanktionen und dem Mangel an Arbeitsplätzen in der IT-Branche.

Laut seinen Angaben agiert der Bot vollkommen autonom ohne Verbindung zu einem Kontrollserver und versucht lediglich, sich über unsichere Standard-Passwörter wie admin/admin via SSH zu verbreiten. Die Schadsoftware besitze einen Timer und beende sich sechs Monate nach dem Start selbst. Zudem niste sie sich im temporären Verzeichnis ein und besitze keine Mechanismen zur dauerhaften Verankerung auf dem System, weshalb ein Neustart des Geräts zur Bereinigung ausreiche. Der Entwickler räumte ein, dass die Aktion unverantwortlich und teilweise illegal sei.

Experten warnen vor Social Engineering

Sicherheitsanalysten warnen davor, die Absichten des Akteurs ungeprüft als harmlos einzustufen. Unabhängig von den vorgebrachten Motiven handelt es sich technologisch um ein Werkzeug für automatisierte Einbruchsversuche, das gezielt Schwachstellen in der grundlegenden IT-Sicherheit von Servern ausnutzt. Jason Callahan vom SANS Internet Storm Center kommentierte den Vorfall mit den Worten:

Anzeige

„Unabhängig vom Ursprung und der vermeintlichen Absicht des Bots handelt es sich um einen einfachen Scan- und Brute-Force-Bot, und er sollte wie jeder andere behandelt werden, der auf einen Honeypot trifft.“

Jason Callahan vom SANS Internet Storm Center

Mitleidserregende Geschichten seien eine bekannte Methode des Social Engineering, um Analysten zu manipulieren und das Blockieren von IP-Adressen zu verzögern. Administratoren wird empfohlen, die betroffenen IP-Adressen konsequent über Firewalls zu sperren und Standard-Passwörter zu ändern.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.