Ein neu identifiziertes IoT-Botnet namens RondoDox zielt laut Analysen von Trend Micro gezielt auf internet-exponierte IoT- und Netzwerkgeräte. Der Akteur nutzt ein breites Arsenal aus 56 Schwachstellen gegen mehr als 30 Hersteller und Gerätekategorien – von DVR/NVR und IP-Kameras bis zu SOHO-Routern und Webservern. Die Kombination aus großer Gerätevielfalt und bekannten n-day-Exploits erhöht die Erfolgsquote und skaliert die Kampagne.
IoT-Ziele und Reichweite: DVR/NVR, IP-Kameras, SOHO-Router, Webserver
RondoDox fokussiert auf Systeme, die häufig dauerhaft aus dem Internet erreichbar sind und seltener zeitnah gepatcht werden: Überwachungsrekorder, Netzwerk- und Digitalkameras, Heim- und Kleinbüro-Router sowie Webserver in Video- und Heimnetzökosystemen. Diese Auswahl verschafft dem Operator kontinuierlichen Zugang zu neuen, ungepatchten Zielen und damit eine hohe Ausbreitungsdynamik.
Exploit-Strategie: „Shotgun of exploits“ und Pwn2Own als Innovationsmotor
Kern der Taktik ist ein paralleler Einsatz vieler Exploits („shotgun of exploits“), um die Infektionsrate zu maximieren. Das erhöht zwar die „Lautstärke“ der Scans, wird aber durch die große Angriffsfläche kompensiert. Bemerkenswert ist die schnelle Adaption von Techniken aus Pwn2Own-Wettbewerben: So wird u. a. CVE-2023-1389 im TP-Link Archer AX21 aus Pwn2Own Toronto 2022 in der Kampagne eingesetzt – ein Beispiel für die verkürzte Zeitspanne zwischen Forschung, öffentlicher Demonstration und Missbrauch in freier Wildbahn.
n-day-Luecken und Command-Injection ohne CVE-IDs
Neben bekannten n-days nutzt RondoDox laut Trend Micro Exploits für 18 Command-Injection-Schwachstellen ohne zugewiesene CVE-ID. Betroffen sind u. a. NAS von D-Link, DVR-Systeme von TVT und LILIN, Router von Fiberhome, ASMAX und Linksys sowie Kameras von Brickcom. Das Fehlen einer CVE-Referenz erschwert Betreibern die Priorisierung, Inventarisierung und das Tracking verfügbarer Patches.
Warum IoT-Geraete besonders anfaellig bleiben
Zwei strukturelle Faktoren dominieren: Alte, nicht mehr unterstützte Geräte (EoL/EoS) erhalten keine Patches, und aktuelle Modelle bleiben aufgrund mangelhafter Update-Disziplin nach der Ersteinrichtung verwundbar. Historische Fälle wie Mirai zeigen, dass frei erreichbare Dienste, Standardzugänge und seltene Firmware-Updates einen dauerhaften „Opferpool“ für IoT-Botnets schaffen. Branchenberichte von Behörden und Forschungseinrichtungen (z. B. ENISA Threat Landscape, CISA KEV-Katalog) unterstreichen seit Jahren, dass die Ausnutzung bekannter Schwachstellen und Fehlkonfigurationen im IoT anhaltend zu den Top-Angriffsvektoren zählt.
Technische Faehigkeiten: DDoS und Traffic-Tarnung
Nach Erkenntnissen von FortiGuard Labs verfügt RondoDox über modulare DDoS-Fähigkeiten auf HTTP, UDP und TCP. Zur Erschwerung der Erkennung tarnt das Botnet seinen Traffic, indem es beliebte Gaming- und Kommunikationsprotokolle imitiert, darunter Valve, Minecraft, Dark and Darker, Roblox, DayZ, Fortnite, GTA sowie Discord, OpenVPN, WireGuard, RakNet. Diese Maskierung schwächt signaturbasierte Erkennung und erschwert einfache Netzwerkfilter, was die Resilienz der Infrastruktur erhöht.
Sicherheitsmassnahmen: Praxisnahe Schritte fuer Unternehmen und Heimanwender
1) Patching und Lebenszyklus: Firmware konsequent aktualisieren; nicht unterstützte Geräte zeitnah ersetzen. Eine belastbare Asset-Inventur plus EoL/EoS-Policy verhindert „vergessene“ Knoten im Netz.
2) Segmentierung und Egress-Kontrollen: IoT- und Gästesegmente strikt von kritischen Systemen trennen (VLAN/SDN). Ausgangsverkehr von IoT-Subnetzen per Firewall auf notwendige Protokolle/Ports begrenzen.
3) Zugang und Anmeldedaten: Standardkonten entfernen, lange eindeutige Passwörter nutzen, Passwortmanager einsetzen. MFA aktivieren, wo verfügbar, und Remote-Admin aus dem Internet deaktivieren.
4) Angriffsoberflaeche reduzieren: UPnP deaktivieren, ungenutzte Dienste schließen, nur zwingend benötigte Schnittstellen veröffentlichen. Admin-Zugriffe via Allowlist und Geo-/IP-Restriktionen absichern.
5) Erkennung und Reaktion: Netzwerk-Telemetrie auf Anomalien überwachen, regelmäßige Scans auf bekannte Exploits durchführen, IDS/IPS und Log-Analysen für frühe Indikatoren von Kompromittierung nutzen.
RondoDox steht exemplarisch für die professionelle Industrialisierung von IoT-Angriffen: schnelle Operationalisierung von Pwn2Own-Forschung, aggressive Multi-Exploitation und ausgefeilte Traffic-Tarnung. Betreiber sollten jetzt Inventare aktualisieren, EoL-Hardware ablösen, Netzwerke segmentieren und Patch- sowie Zugangshygiene durchsetzen. Wer diese Basiskontrollen priorisiert, reduziert die Wahrscheinlichkeit, dass das eigene IoT-Portfolio zur DDoS-Verstärkung missbraucht wird.
