Die rasante Verbreitung von Internet of Things (IoT)-Geräten hat eine neue Angriffsfläche für Cyberkriminelle geschaffen, von der PumaBot, eine jüngst identifizierte Botnet-Malware, massiv Gebrauch macht. Dieses Botnet zielt gezielt auf Embedded-Linux-basierte IoT-Systeme ab, um mithilfe von Brute-Force-Attacken SSH-Zugangsdaten zu erlangen. Über diese Zugänge kann es weitere Malware verbreiten und die Ressourcen der infizierten Geräte für das nicht autorisierte Schürfen von Kryptowährungen nutzen. Bereits die bloße Existenz eines solchen Angriffsszenarios zeigt, wie dringend eine verstärkte IT-Sicherheit in der IoT-Welt vonnöten ist. PumaBot hebt die Gefahren hervor, die durch unzureichend geschützte Devices entstehen, und verdeutlicht, dass die Bedrohungslage sowohl für private Anwender als auch für Unternehmen steigt.
Die Malware ist in der Programmiersprache Go entwickelt worden, was ihr nicht nur eine plattformübergreifende Einsatzmöglichkeit, sondern auch eine hohe Effizienz und einen geringen Ressourcenverbrauch ermöglicht. Im Gegensatz zu herkömmlichen Botnets, die eigenständig nach potenziellen Opfern im Internet scannen, bezieht PumaBot seine Ziel-IP-Adressen von einem zentralen Command-and-Control-Server (C2). Dadurch wird das Angriffsmuster stark fokussiert und kontrolliert, was die Erkennung durch Sicherheitslösungen erschwert und eine zielgerichtete Ausbreitung ermöglicht. Die genutzte C2-Domain lautet „ssh.ddos-cc[.
]org“ und stellt die Liste der IP-Adressen mit offenen SSH-Ports bereit. Ein besonderes Merkmal von PumaBot ist seine Fähigkeit, Prüfsummen und spezielle Umgebungen zu erkennen, um zu analysieren, ob das Zielsystem ein „Honeypot“ ist oder nicht. Ein Honeypot ist eine Falle in der Cyberabwehr, die Angreifer täuschen soll. PumaBot untersucht in dem Zusammenhang auch den String „Pumatronix“, der auf eine spezifische Geräteklasse verweist – nämlich Überwachungs- und Verkehrskameras. Offenbar versucht das Botnet entweder, diese Geräte gezielt auszusparen oder speziell anzugreifen, was auf eine hochentwickelte Angriffstrategie schließt.
Sobald PumaBot erfolgreich Zugriff auf ein System erlangt hat, sammelt es grundlegende Systeminformationen und sendet diese an den C2-Server. Anschließend installiert sich die Malware so, dass sie auch nach einem Neustart des Gerätes aktiv bleibt. Dabei tarnt sie sich als legitime Systemdatei, zum Beispiel als „/lib/redis“, und legt persistente Systemd-Dienste wie „redis.service“ oder „mysqI.service“ an.
Letzteres ist eine absichtlich falsch geschriebene Variante von „mysql.service“, um weniger Aufmerksamkeit zu erregen. Diese Tarnung sorgt dafür, dass die Malware lange unentdeckt bleibt und das System kompromittiert. Die Kompromittierung des Systems dient vornehmlich zwei Zwecken: dem Diebstahl von sensiblen SSH-Zugangsdaten und dem Mining von Kryptowährungen. Im Falle des Minings greift PumaBot auf bekannte Mining-Software wie „xmrig“ zurück, die minimalistischen Ressourcenverbrauch mit einer hohen Hashrate kombiniert.
Weil die Malware aber nur symbolhafte interne Commands nutzt, ist davon auszugehen, dass weitere Payloads nachgeladen werden, sofern eine Verbindung zum C2-Server besteht. Zur Zeit der Analyse war die C2-Infrastruktur nicht erreichbar, was eine vollständige Erfassung des Schadcodes einschränkte. Der Angriffskomplex besteht aus mehreren Komponenten. Neben dem eigentlichen Botnet-Programm gibt es einen Go-basierten Backdoor namens „ddaaemon“, der das Brute-Force-Tool „networkxm“ herunterlädt und installiert. Letzteres verhält sich ähnlich wie das Botnet-Programm selbst und verwendet eine Passwortliste zur automatisierten SSH-Anmeldung auf Zielsystemen.
Über ein weiteres Shell-Skript namens „installx.sh“ wird ein schädliches „pam_unix.so“-Modul eingespielt, das als Rootkit fungiert und Login-Daten abfängt. Die kompromittierten Zugangsdaten werden in einer versteckten Datei „/usr/bin/con.txt“ gespeichert und von einem weiteren Binärprogramm namens „1“ überwacht, um sie regelmäßig an den Angreifer zu exfiltrieren.
Organisationen und Nutzer von Linux-basierten IoT-Geräten sollten diese Bedrohung ernstnehmen und proaktive Maßnahmen ergreifen. Eine kontinuierliche Überwachung auf ungewöhnliche SSH-Anmeldeversuche und fehlgeschlagene Login-Versuche ist essenziell, um frühe Anzeichen eines Kompromisses zu erkennen. Auch die regelmäßige Überprüfung und Bereinigung von systemd-Diensten ist empfehlenswert, damit sich keine unerwünschten Persistenzmechanismen etablieren können. Das Verifizieren der „authorized_keys“-Dateien hilft, fremde SSH-Schlüssel zu identifizieren und zu entfernen. Die Verringerung der Angriffsfläche durch das Anlegen strikter Firewall-Regeln stellt ebenso eine effektive Gegenmaßnahme dar.
Es empfiehlt sich, nur vertrauenswürdige IP-Adressen für den SSH-Zugriff zuzulassen und unnötige Öffnungen der SSH-Ports zu vermeiden. Ergänzend sollte verdächtiger HTTP-Verkehr, insbesondere Anfragen mit ungewöhnlichen oder präparierten Headern wie „X-API-KEY: jieruidashabi“, gefiltert und blockiert werden. PumaBot steht exemplarisch für eine neue Generation von Angriffen, die Linux-basierte IoT-Geräte automatisiert infiltrieren, manipulieren und für finanzielle Vorteile missbrauchen. Die in Go programmierte Malware überzeugt durch ihre Modularität, Tarnkappenfähigkeiten und den gezielten Einsatz von Brute-Force-Methoden zum Erlangen von Administratorzugängen. Dabei wird nicht nur die oft vernachlässigte Sicherheit von IoT-Geräten ausgenutzt, sondern auch die Tatsache, dass viele Hersteller und Betreiber restriktive Sicherheitsmaßstäbe nicht ernst genug nehmen.
Durch das Nachladen weiterer schädlicher Module wie Rootkits zur Credential-Steuerung und Backdoors zum Fernzugriff kann das Botnet langfristig eine schwer kontrollierbare Bedrohung darstellen. Die Tatsache, dass sich die Malware gegenüber Simulationen und Honeypots zu schützen versucht, unterstreicht die hohe Professionalität und Gefahr dieser Attacken. Die Kombination aus gezieltem Angriff, langfristiger Persistenz und finanzieller Motivation macht PumaBot besonders gefährlich. Immer mehr Sicherheitsforscher und Unternehmen rufen daher dazu auf, den Schutz von IoT-Systemen zu priorisieren, da kompromittierte Geräte nicht nur individuell Schaden anrichten, sondern als Teil von Botnetzen massive DDoS-Angriffe und großflächige Rechenleistung für illegale Zwecke bereitstellen können. Insbesondere sollten Hersteller Sicherheit schon während der Entwicklung einplanen, Updates zeitnah ausrollen und Anwender über Risiken und Abwehrstrategien aufklären.
Zusammengefasst zeigt die PumaBot-Kampagne eindrucksvoll, dass die wachsende Vernetzung durch IoT-Geräte auch neue Sicherheitsherausforderungen mit sich bringt. Die Integration klassischer Sicherheitskonzepte wie Zugangskontrolle, Härtung der Systeme und Netzsegmentierung ist hier unerlässlich. Nur so lassen sich erfolgreiche Infiltrationen verhindern und die Integrität der Systeme gewährleisten. Denn ein kompromittiertes IoT-Gerät kann im großen Stil als Einfallstor für komplexe Angriffe sowie als Ressourcenquelle für Cyberkriminalität missbraucht werden – was langfristig zu erheblichen finanziellen und reputativen Schäden führt.
