Alles, was im Internet der Dinge gerade falsch läuft, ließ sich vor wenigen Tagen in einem Wort zusammenfassen: Mirai. So heißt das Botnetz, das im Oktober für den Angriff auf den DNS-Provider Dyn benutzt wurde. Und so heißt auch die Schadsoftware, die im Internet nach schlecht gesicherten vernetzten Geräten wie IP-Kameras und digitalen Videorekordern sucht, sie infiziert und dem gleichnamigen Botnetz hinzufügt. Nun hat Mirai einen Nachfolger, von seinem Entdecker Linux/IRCTelnet getauft. Kein besonders klangvoller Name, aber man wird ihn sich merken müssen.

Der Angriff auf Dyn hatte zur Folge, dass Onlinedienste wie Twitter, Reddit, Spotify und Netflix vor allem an der US-Ostküste stundenlang nicht erreichbar waren, jedenfalls nicht auf gewohntem Weg. Manche befürchten – auch wenn es weit hergeholt sein mag –, eine ähnliche Attacke am Wahltag kommende Woche könnte für Chaos sorgen, weil Menschen die Adresse ihres Wahllokals nicht im Netz finden oder weil sie Nachrichtenseiten nicht erreichen, um sich über die Ergebnisse zu informieren. Der Hersteller von Komponenten besonders häufig infizierter IP-Kameras, das chinesische Unternehmen Hangzhou Xiongmai, hat eine Rückrufaktion in den USA gestartet. Kurz: Mirai mit seinen geschätzt rund 500.000 infizierten Geräten hat für einige Aufregung gesorgt.

3.500 infizierte Geräte in fünf Tagen

Linux/IRCTelnet aber hat das Potenzial, noch größere Schäden anzurichten. Es ist eine Art Best-of-Botnetzmalware, vereint also die Fähigkeiten mehrerer bekannter Programme. Und es wächst offenbar schnell. Von 3.500 infizierten Geräten in fünf Tagen spricht sein Entdecker, der sich unixfreaxjp nennt. Er hat seine Analyse auf malwaremustdie.org veröffentlicht.

Demnach kombiniert Linux/IRCTelnet große Teile des Quellcodes von Aidra, einem der ersten bekannten IoT-Malwarebots, mit den Scanningfähigkeiten von Bashlite und der Liste von Standardzugangsdaten, die Mirai benutzt, um Geräte heimlich zu übernehmen. Ziele der Hybridmalware sind offenbar vernetzte Geräte, die unter Linux laufen, über das weit verbreitete Telnet-Protokoll ansprechbar sind und deren Zugangsdaten noch den Werkseinstellungen entsprechen.

Experiment mit einem virtuellen Toaster

Wie Mirai ist auch Linux/IRCTelnet zunächst kein hartnäckiger Schädling. Ein Neustart des befallenen Geräts entfernt die Schadsoftware. Aber solange die Zugangsdaten unverändert bleiben und das Gerät nicht mit einer Firewall geschützt wird, kommt Linux/IRCTelnet einfach wieder.

Wie schnell so etwas gehen kann, hat der Journalist Andrew McGill vom Atlantic gerade in einem Experiment nachgewiesen. Er mietete einen kleinen Amazon-Server, ließ ihn wie einen vernetzten Toaster erscheinen und wartete auf IoT-Bots, die versuchten, ihn zu hacken und in ihr Botnetz aufzunehmen. Der erste kam nach 41 Minuten. Nach etwa zehn Stunden waren es schon mehr als 300.

Der virtuelle Toaster steht für unzählige Geräte im Netz. 5,5 Millionen kommen jeden Tag hinzu, schätzt das Marktforschungsinstitut Gartner, viele davon dürften schlecht gesichert sein und bleiben. Chester Wisniewski, Forscher und Berater des IT-Sicherheitsunternehmens Sophos, nennt die Situation "katastrophal". Selbst in teureren IoT-Geräten habe er gravierende Sicherheitslücken entdeckt, oft schon nach wenigen Minuten.