Die Leistung: weniger Hulk, mehr Sheldon Cooper
Die Geräte arbeiten nach dem Eingliedern in das Botnet durchgehend am Limit mit annähernd hundertprozentiger Auslastung. Unklar ist, wie effizient das für Angreifer letztlich in Bitcoin, Zcash oder Monero ist – viel dürfte dabei wegen der geringen Leistungsfähigkeit eines Raspberry Pi eigentlich nicht herumkommen. Aber das Mining kostet die Cyberkriminellen wenigstens nicht den eigenen Strom, da darf es dann ruhig länger dauern…
Der Ablauf der Infektion
Der cybergeldgeile Trojaner mit dem Namen Linux.MulDrop.14 installiert sich auf Raspberry-Pi-Geräten, deren SSH-Port für externe Verbindungen geöffnet ist und bei denen noch kein eigenes Kennwort für den Benutzer „Pi“ vergeben wurde.
Nach der Infektion des Minirechners wird das Passwort geändert in der Datei „\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4
Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1“ abgelegt, und anschließend sucht der Trojaner mittels des mitgebrachten Netzwerkscanners ZMap nach weiteren Netzwerkknoten mit offenem Port 22, um gegebenenfalls weitere Geräte zu übernehmen. Dabei läuft das Mining dann schon auf vollen Touren.
Wie man die Infektion feststellen kann
Arbeitet der Raspi zum Beispiel als Mediacenter, dann wird die Infektion sofort offensichtlich bzw. unüberhörbar – Medien streamen und Cybergeld minen geht auf so einem schwachen Rechner kaum gleichzeitig.
Bei Geräten, die normalerweise kaum ausgelastet sind und die deshalb unbemerkt übernommen worden sein können, hilft ein schneller Check:
Schlägt der SSH-Login eines Raspi-Besitzers wegen eines falschen Passworts fehl, ist das ein Zeichen für eine Infektion, erläutern die Sicherheitsforscher von Dr. Web.
Wie man den Schädling wieder los wird
Ist der eigene Raspi in der Tat infiziert, empfehlen die Spezialisten, die SD-Karte des Raspberry Pi aus dem Minirechner zu entfernen, alle wichtigen Daten über einen anderen Computer zu retten und dann eine neue Distribution auf die Speicherkarte aufzuspielen.