Am 18. September veröffentlichten FBI, NSA und die Cyber National Mission Force (CNMF) ein gemeinsames Joint Cybersecurity Advisory zu staatlich gesteuerten, chinesischen Cyberakteuren die weltweit IoT-Geräte und Router kompromittiert haben, um ein großangelegtes Botnetz zu betreiben. Das Botnetz, umfasst mehr als 260.000 Geräte (davon ca. 19.000 Geräte in Deutschland) und wird für DDoS-Angriffe, aber auch zur Kompromittierung von Angriffszielen verwendet. Das Netzwerk wird vom chinesischen Unternehmen Integrity Technology Group verwaltet und ist seit 2021 aktiv.
Die Akteure nutzen die „Mirai“-Malware, die speziell entwickelt wurde, um IoT-Geräte und Router zu infizieren. Das Botnetz umfasst dabei nicht nur Geräte, die von den Herstellern nicht mehr mit Updates versorgt werden, sondern auch aktuelle Gerätetypen. In annähernd 90% der Fälle wurden Geräte mit einer x86 Prozessorarchitektur angegriffen. Der Angriff erfolgt zunächst über das Ausnutzen bereits bekannter Sicherheitslücken. Im Anschluss wird die „Mirai“-Malware von einem Angreifer-Server ausgeführt, welche anschließend eine Verbindung zum C2-Server der Angreifer aufnimmt. Auffällig ist eine Häufung von Subdomains der Domain „w8510.com“, die mit den C2-Servern in Verbindung gebracht wird.
Das Advisory enthält eine Reihe von Standardmaßnahmen, um die Kompromittierung eigener IoT-Geräte zu verhindern und sich vor Angriffen aus dem Botnetz heraus zu schützen. Wir empfehlen darüber hinaus dringend, eigene Systeme anhand der bereitgestellten IOCs und der Liste von missbrauchten Sicherheitslücken zu überprüfen. Weitere Informationen zu der beschriebenen Vorgehensweise chinesischer Cyberakteure sowie Handlungsempfehlungen können aus dem Cyber-Brief Nr. 02/2023 des Bundesamtes für Verfassungsschutz entnommen werden.