Netztransparenz – die zweite Verteidigungslinie

Bedroht das IoT-Botnetz »Reaper« vernetzte Produktionen?

| Autor / Redakteur: Klaus Mochalski / Redaktion IoT

Bedroht das IoT-Botnetz »Reaper« vernetzte Produktionen?
Bedroht das IoT-Botnetz »Reaper« vernetzte Produktionen? (www.pixabay.com)

Bisher sind ausschließlich IoT-fähige Geräte betroffen, doch der Übergang zum IIoT ist fließend und die Angreifer zeigen sich äußerst agil.

Mit dem »Reaper« nimmt die nächste Malwarekampagne Fahrt auf. Bisher sind ausschließlich IoT-fähige Geräte betroffen, doch der Übergang zum IIoT (Industriellen Internet der Dinge ) ist fließend und die Angreifer zeigen sich äußerst agil. Bei einer Attacke könnten somit auch Steuernetze, Fernwirknetze und vernetzte Produktionen betroffen sein. Mit einer Anomalieerkennung werden solche schleichenden Übernahmen frühzeitig erkannt.

Am 20. Oktober berichtete der IT-Analyst yegenshen der Chinesischen Cybersicherheitsfirma Netlab 360 von einem neuen Botnetz, das gezielt IoT-fähige Geräte ins Visier nimmt. Yegenshen bezeichnete das Botnet deshalb als »IoT_reaper«. Mittlerweile hat sich die Kurzform »Reaper« etabliert.
Der Analyst sprach von rund 10.000 befallenen Geräten, die bereits fünf Tage später auf 28.000 angestiegen waren. Zusätzlich werden mindestens zwei Millionen IoT-Geräte in einer Warteschleife vermutet, die vom Botnetz auf eine Nutzung im Botnetz geprüft und nachfolgend infiziert werden sollen.

Was im ersten Moment an das letztjährige »Mirai«-Botnet erinnert, wird in der Detailanalyse als weitaus potentere Malware identifiziert. Mirai hatte 2016 zirka 500.000 IoT-Devices kompromittiert, die für wiederholte DDoS-Attacken (Distributed-Denial-of-Service) genutzt wurden. Unter anderem wurde der DNS-Serviceanbieter Dyn attackiert, so dass eine Reihe dort gehosteter Webseiten wie Twitter, Netflix und Reddit für längere Zeit nicht erreichbar waren. Auch für den Hackerangriff auf DSL-Router der Telekom am 27. November 2016 wurde das Mirai-Botnet genutzt.

Unterschiede von Reaper und Mirai

Der Angriffsvektor verlief (und verläuft nach wie vor) bei Mirai über die Nutzung der Defaultpasswörter, die vom Hersteller in den IoT-Devices gesetzt werden – und vom Nutzer häufig nicht geändert wurden. Das neue Botnetz Reaper mag auf dem Code von Mirai aufbauen, es unterscheidet sich jedoch sehr klar von diesem Vorgänger – sowohl in der Ausführung als auch im möglichen Störpotential:

  1. Der Angriffsvektor läuft gezielt über Schwachstellen (Vulnerabilities oder Exploits) bestimmter Geräteanbieter wie D-Link, Netgear, JAWS u.a. Auf die Ausnutzung von Defaultpasswörtern der Hersteller wird verzichtet, so dass eine Detektion bzw. Abwehr noch unwahrscheinlicher ist.
  2. Die Autoren reagieren sehr flexibel auf Änderungen. So wurde die Schwachstelle der IP-Überwachungssysteme vom Typ Vacron NVR nur wenige Tage nach Bekanntwerden in das Botnetz integriert. Das spricht für eine sehr aktive Betreuung des Botnetzes.
  3. Die bisherige vergleichsweise langsame Ausbreitung von Reaper spricht für ein sehr sorgfältiges Vorgehen der Autoren. Höchstwahrscheinlich versuchen sie weiterhin die Funktionalität zu testen.
  4. Die Malware ist in einer LUA-Umgebung integriert. LUA ist als einfache und zugleich äußerst mächtige Skriptsprache bekannt, die für komplexe und effiziente Programmierung genutzt wird. Das erhöht das Potential, mit Reaper ebenso komplexe, agil entwickelte Attacken durchzuführen, die weit über die DDoS-Attacken von Mirai hinausgehen.

Warum Reaper auch fürs IIoT gefährlich werden kann

Diese Punkte verdeutlichen das Potential von Reaper, auch im Industriellen Internet der Dinge Störungen herbeizuführen. Bisher sind zwar ausschließlich IoT-Devices betroffen, die keine direkte Anwendung in der industriellen Umgebung haben. Ein Übergreifen ist aus verschiedenen Gründen jedoch nicht nur möglich, sondern auch wahrscheinlich.

Der wahrscheinlichste Weg läuft über das Ausnutzen von Schwachstellen (Exploits) von IIoT-Devices. Die Autoren von Reaper arbeiteten bisher sehr agil. Sie reagierten umgehend auf neu bekannt gewordene Exploits und fügten diese den bisherigen Angriffsvektoren hinzu. Es scheint, dass sie nur darauf warten, neue Schwachstellen in Erfahrung zu bringen. Aktuell sind noch keine IIoT-Geräte direkt betroffen. Dies mag daran liegen, dass den Autoren bislang die Exploits für die entsprechenden Geräte fehlen. Sobald jedoch neue Schlupflöcher bekannt (oder im Darknet verfügbar) werden, könnte sich das schnell ändern.

Ein weiterer Einfallsweg läuft über die Betriebssystembasis. Reaper greift mehrheitlich Linuxbasierte Geräte an. Das Botnetz nutzt infizierte Geräte, um das Netzwerk auf weitere Devices zu scannen und zu infizieren. Dementsprechend können neben den gerätespezifischen Exploits auch generische Linux-Schwachstellen als Einfallstor genutzt werden. Das erlaubt den Autoren eine Ausweitung der Gerätetypen und Hersteller.

Der dritte Weg läuft über die IoT-Devices als Mittelsmann. Reaper greift auf eine mächtige LUA-Umgebung zurück. Es ist daher nicht ausgeschlossen, dass über die infizierten IoT-Devices eine komplexe Malware in die Systeme geschleust wird, die auf »dahinter liegende« Devices zielt. Da IoT-Devices, Office-Devices und IIoT-Devices längst miteinander verbunden sind, könnte eine Netzwerkdurchdringung ganzheitlich erfolgen.

Bislang kann nur gemutmaßt werden, was genau die Autoren von Reaper planen. Alles deutet darauf hin, dass sie das Botnetz aktuell in Stellung bringen und testen. Die potentielle Gefahr offenbart sich vor allem im agilen Anpassen der Malware durch die Autoren und in der potentiellen Reichweite des Reaper.

Die beste Sicherheit sind Transparenz und Echtzeit

Wie schon WannaCry und NotPetya wird der Reaper zu den Advanced Persistent Threats gezählt. Während Mirai noch per Passwort-Hack die Vordertür benutzte, gelangt Reaper bequem durch die Hintertüren der einzelnen Herstellergeräte. Dort übernimmt er kurzerhand die Kontrolle über das Gerät und führt sein aktuell gesetztes Programm um. Das bedeutet auch, dass er von Sicherheitsprodukten wie Firewall und Co. nicht erkannt wird.

Sicherheitsexperten verweisen zwar darauf, dass die Aktualisierung der Firmware die Gefahr bannt. Jedoch vergessen sie dabei zwei entscheidende Punkte:

  1. Der Autor sucht aktiv nach Sicherheitslücken und integriert diese fortwährend (und schneller als jedes Update) in seine Malware. Es ist somit nur eine Frage der Zeit, bis die nächste Hintertür im Gerät genutzt wird oder weitere angreifbar werden.
  2. Industrieunternehmen können aufgrund von Kompatibilitätsproblemen und Verfügbarkeitsanforderungen häufig nicht ad hoc ihre Komponenten aktualisieren. Die Geräte laufen somit in der Regel über einen längeren Zeitraum mit alten Sicherheitseinstellungen, bleiben infiziert und damit angreifbar.

Kurz: Das gängige und von vielen Sicherheitsdienstleistern vorgeschlagene Sicherheitskonzept hinkt dem Reaper immer mindestens einen Schritt hinterher.

Wer seine Geräte schützen und insbesondere die Ausbreitung im eigenen Netzwerk verhindern möchte, muss in Echtzeit über einen möglichen Angriff informiert werden. Das ist derzeit maßgeblich und ausschließlich über eine Anomalieerkennung realisierbar. Die Anomalieerkennung überwacht dabei kontinuierlich alle Aktivitäten im eigenen Netzwerk und meldet jede Auffälligkeit. Dazu gehören Passwort- und Autorisierungsänderungen genauso wie bislang unbekannte Statusabfragen anderer Devices und verdächtige Kommunikationspakete, die zum Beispiel externen Servern Informationen übermitteln oder von diesen Befehle erhalten.

Advanced Persistent Threats ist nur durch ein Maximum an Netzwerktransparenz beizukommen. Es sollte allen Akteuren bewusst werden, dass die erste Verteidigungslinie von Firewall & Co. gegenüber den neuen Angriffsvektoren blind und somit machtlos ist. Umso wichtiger ist es, als zweite Verteidigungslinie des IT-/OT-Sicherheitskonzepts genauestens zu wissen, was im eigenen Netzwerk passiert. Nur so können Netzwerkverantwortliche schnell reagieren und Störungen verhindern.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 0 / Security)