Krypto-Mining

Malware Muldrop.14 kapert Raspberry Pis für Botnetz

| Autor: Margit Kuther

Raspberry Pi: Die Malware Muldrop.14 macht ausschließlich Raspberry Pis zu Botnetzen
Raspberry Pi: Die Malware Muldrop.14 macht ausschließlich Raspberry Pis zu Botnetzen (Bild: Farnell/MKuther)

Linux.Muldrop.14 eint gezielt ungesicherte Raspberry Pis in einem Botnetz und sperrt dann deren Nutzer aus, um Geld in der Kryptowährung zu generieren.

Linux.Muldrop.14 attackiert ausschließlich Raspberry Pis mit geöffnetem SSH-Port (Secure Shell Home) für externe Verbindungen und werkseitigem Kennwort für den Benutzer ‘pi’.

Von Linux.Muldrop.14 befallene Raspberry Pis sind zum einen daran zu erkennen, dass Prozesse extrem langsam laufen. Denn die Malware installiert eigene Bibliotheken, um weitere Raspberry Pis mit geöffnetem SSH-Port 22 aufzuspüren, diese als Botnetze in Besitz zu nehmen und mit deren geballter Rechenleistung Kryptowährung zu sammeln.

Gleichzeitig sperrt der Trojaner den eigentlichen Nutzer aus, indem es das werksseitige Passwort des infizierten Raspberry Pis ersetzt und somit root-Access erhält.

So agiert Linux.Muldrop.14

Details von Linux.Muldrop.14 haben die Virenanalysten von „Dr. Web“ beschrieben:

Der Linux-Trojaner Linux.Muldrop.14 ist ein Bash-Skript mit einem so genannten „Mining“- oder „Schürf“-Programm zum Sammeln von digitaler Währung. Im Visier hat Linux.Muldrop.14 allen Anschein nach allerdings nicht die gängigen Bitcoins, sondern Monera.

Hat der Trojaner einen Raspberry Pi gekapert, installiert er neben eigenen Bibliotheken Zmap und Sshpass. Desweiteren ändert er das werksseitige Passwort des Users „pi“ in “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1” (ohne Leerzeichen), so dass sich der eigentliche Nutzer nicht mehr anmelden kann.

Anschließend scannt Linux.Muldrop.14 das Internet in einer Endlosschleife mittels zmap nach Netzwerkknoten mit offenem Port 22. Findet er solche, versucht sich der Trojaner dort mittels sshpass über das Login(Username):Passwort „pi:raspberry“ einzuloggen. Dabei nutzt er nur diese Kombination, attackiert also nur Raspberry Pis. Klappt dies, beginnt Linux.Muldrop.14 mit dem Download und der Installation seiner Bibliotheken, .... .

Ergänzendes zum Thema
 
Raspberry Pi auf ELEKTRONIKPRAXIS.de

Um Linux.Muldrop.14 von befallenen Raspberry Pis zu entfernen, muss das System komplett neu aufgespielt werden.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44738779 / Raspberry & Co.)