Torii: Neues IoT-Botnetzwerk ist gekommen, um zu bleiben

Mit einem Honeypot konnte der Sicherheitsforscher Vesselin Bontchev an ein Exemplar der Schadsoftware Torii gelangen. Das Botnetzwerk kann unterschiedliche Prozessorarchitekturen nutzen und hat damit Zugriff auf eine große Bandbreite an Geräten im Internet der Dinge (IoT). Es versucht auf sechs unterschiedliche Arten, auch bei einem Neustart wieder geladen zu werden. Das IT-Sicherheitsunternehmen Avast hat die Schadsoftware auf ihrem Blog einer eingehenden Analyse unterzogen.

Torii sucht nach offenen oder mit Standardpasswörtern gesicherten Telnet-Zugängen und gelangt über diese in die Geräte. Die Kommunikation mit Command-and-Control-Servern wickelt die Software über den Anonymisierungsdienst Tor ab, was ihr auch den Namen einbrachte. Die Daten und Befehle werden verschlüsselt über den HTTPS-Port 443 übertragen, allerdings wird im Gegensatz zu dem üblichen TLS eine eigene Verschlüsselung verwendet.

Kann Torii ein Gerät infizieren, überprüft es in einem ersten Schritt die Architektur und lädt anschließend die entsprechenden Payloads nach. Die Software arbeitet dabei mit Standard-Kommandozeilenbefehlen wie wget, ftpget, ftp, busybox wget oder busybox ftpget.

Im Unterschied zu vielen anderen IoT-Botnetzwerken ist Torii auf Persistenz angelegt. Auf sechs unterschiedlichen Wegen versucht es, bei einem Neustart des Gerätes wieder geladen zu werden: Es schreibt sich in die .bashrc, setzt einen @reboot-Cronjob in die crontab, legt sich als System-Daemon via Systemd und unter /etc/init an und es modifiziert das SELinux Policy Management sowie die /etc/inittab, um automatisch gestartet zu werden.

Torii läuft auf insgesamt sieben unterschiedlichen Prozessorarchitekturen und dürfte damit das Botnetz mit der breitesten Geräteunterstützung sein. Neben Arm, x86 und x64 läuft es auch unter MIPS, Motorola 68k, PowerPC und SuperH.

Was die Entwickler des persistenten Botnetzwerks mit den befallenen Geräten vorhaben, ist im Moment noch völlig unklar. Üblicherweise werden Botnetzwerke für DDoS-Angriffe oder Kryptomining verwendet. Torii hingegen nistet sich in den Geräten ein und bleibt durch seine modulare Architektur flexibel, um verschiedene Kommandos auszuführen oder Funktionen nachzuladen. Zudem ist es dazu ausgelegt, (sensible) Informationen auszulesen.

Avast vermutet, dass das Netzerk bereits seit Dezember 2017 aktiv ist. Die Sicherheitsfirma will Torii weiter beobachten und analysieren, hält es aber schon jetzt für eine "Evolution der IoT-Schadsoftware"; der Entwicklungsstand sei ein Level über allem, was man bisher gesehen habe.