Aktuell wird eine Angriffswelle beobachtet, die laut Experten ihresgleichen sucht. Die Kampagne operiert unter den Namen Redheberg und umfasst laut dem österreichischen Security-Spezialisten
Risikomonitor bereits rund 80'000 Geräte in 91 Ländern. Weiter kämen aktuell rund 2000 Geräte pro Tag hinzu. Das Botnet wächst damit rasant schnell an, wie die Sicherheitsforscher betonen. Gefährlich ist die Grössenordnung, weil damit etwa DDoS-Angriffe oder Phishing-Kampagnen in beachtlichem, gegebenenfalls rekordhohem Umfang gefahren werden können.
Ziel der Kampagne seien ausschliesslich Telekommunikationsunternehmen und Internet Service Provider respektive deren Router, die mit dem Router-OS MikroTik bestückt sind. Damit wären vor allem Geräte betroffen, die in globalen Routing-Tabellen als legitim geführt werden und über eine hohe Bandbreite verfügen. Die hohe Verbreitung über mehr als 90 Nationen erschwert die Abwehr möglicher Angriffe über das Botnet weiter.
Laut der Projektion der Entwicklung von Risikomonitor könnte das Redheberg-Botnet in den nächsten drei Monaten auf mehr als eine Viertelmillion Geräte anwachsen. Die theoretische DDoS-Kapazität läge damit zwischen 2,6 und 5,2 Tbps. Die Angreifer installieren nach dem Eindringen aber keine Schadsoftware, sondern binden kompromittierte Geräte still ins Botnet ein, was die Erkennung erschwere.
Bei Redheberg handle es sich nicht um Einzeltäter oder eine opportunistische Hackergruppe, sondern um einen kommerziellen Anbieter, wie die Autoren schreiben. Es sei ausserdem unwahrscheinlich, dass es sich um einen staatlichen Akteur handle, vermutlich stehe hinter dem Botnet eine rein kriminelle, wirtschaftliche Motivation.
Die Angreifer bieten die gekaperten Geräte laut der Untersuchung für verschiedene Zwecke an. Laut eigenen Angaben verfüge man über rund 10'000 verfügbare Geräte im Botnet, die von
Risikomonitor ausgewiesene Zahl von 80'000 Geräten entstammt dem Darknet-Monitoring des Security-Spezialisten.
(win)
