Studie

Droht ein weltweites Chaos durch Thingbots?

| Autor / Redakteur: Andreas Riepen / Redaktion IoT

Thingbots werden immer gefährlicher.
Thingbots werden immer gefährlicher. (www.unsplash.com)

Die Gefahr, die von angreifbaren IoT-Geräten ausgeht, verschärft sich und wird zunehmend schwerer einzudämmen. Eine aktuelle Studie verzeichnet eine Zunahme um 249 Prozent bei Brute-Force-Angriffen.

Der neueste Threat-Intelligence-Report von F5 Labs zeigt: Unternehmen weltweit dürfen nicht länger die unaufhaltsamen Verbreitung von Thingbots ignorieren. Sie kapern IoT-Geräte und machen sie zur Cyberwaffe der Wahl für Angriffe durch Botnets. So wurde von 2016 auf 2017 ein Anstieg der Brute-Force-Angriffe auf IoT-Geräte via Telnet um 249 Prozent registriert.

Dabei stammten 44 Prozent des Angriffs-Traffic aus China und von IP-Adressen in chinesischen Netzwerken. Auf den Plätzen zwei und drei rangieren die USA und Russland. Besonders beunruhigend ist dabei die Tatsache, dass über den gesamten Zeitraum immer wieder die gleichen IP-Adressen und Netzwerke für Angriffe genutzt wurden. Das heißt, dass der bösartige Traffic entweder unentdeckt blieb oder mit Erlaubnis der betroffenen Netzwerke initiiert wurde.

Angriffsziele sind weltweit verteilt

Am häufigsten wurden Ziele in den USA, Singapur, Spanien und Ungarn angegriffen, ohne dass dabei ein klarer Spitzenreiter hervorstechen würde. Auf die zehn am häufigsten angegriffenen Länder verteilen sich die Angriffe relativ gleichmäßig, insgesamt entfällt ein Anteil der globalen Attacken zwischen 24 und 44 Prozent auf sie. Das bedeutet, dass die anfälligen IoT-Geräte weltweit verteilt sind.

Im zweiten Halbjahr 2017 verzeichnete man einen Rückgang der Angriffe. Konkret nahmen sie zwischen dem ersten und vierten Quartal um 77 Prozent ab. Gleichzeitig war deren Intensität immer noch stärker zu den Hochzeiten von Mirai, der Schadsoftware, die im September 2016 die Kontrolle über hunderttausende von IoT-Geräten wie Sicherheitskameras, Router oder digitale Videorekorder (DVR) übernahm. Daraus kann man schließen, dass sich in besagtem Zeitraum einige sehr große Thingbots formierten – und Mirai außerdem sein volles Potenzial nicht entfaltet hat.

Es ist absehbar, dass sich die volle Wucht von Thingbots bislang noch nicht gezeigt hat. Während laut Gartner derzeit 8,4 Milliarden IoT-Geräte im Einsatz sind, wird diese Zahl bis 2020 auf geschätzt 20,4 Milliarden steigen. IHS geht sogar von 30 Milliarden IoT-Geräten bis 2020 aus, und der Halbleiterhersteller SoftBank rechnet bis 2035 mit einer Billion. „Wenn wir nicht heute unsere Entwicklungsstandards ändern, werden wir unsichere IoT-Geräte zwei- bis dreimal schneller als je zuvor in Betrieb nehmen“, sagt Sara Boddy, Director F5 Labs Threat Research. „Sie werden aber mit der gleichen Geschwindigkeit kompromittiert werden. Das ist die Formel für künftiges Chaos zwischen der physischen und der virtuellen Welt.“

Telnet: Das Ende der tief hängenden Früchte?

Bisher wurde für IoT-Angriffe überwiegend Telnet genutzt. Inzwischen verändern Cyberkriminelle ihr Vorgehen immer schneller und auf vielfältige Weise. „Wir haben festgestellt, dass Angreifer seit mindestens einem Jahr weitere Methoden zum Kompromittieren von IoT-Geräten einsetzen“, berichtet Boddy. „Diese Methoden sind technisch gesehen simpel. Ihr Angriffsplan besteht aus nur wenigen Schritten. Dabei betreffen sie weniger Geräte, da sie auf Nicht-Standard-Ports und -Protokolle abzielen, auf einzelne Hersteller, Gerätearten oder Modelle.“

So konnte festgestellt werden, dass mindestens 46 Millionen Home-Router anfällig für Remote-Command Injection Attacks über die Remote-Management-Protokolle TR-069 und TR-064 sind. Diese Protokolle dienen Internet Service Providern für das Management von bei Kunden installierten Routern. Thingbot Annie nutzt dort eine Schwachstelle aus, was bereits bei zahlreichen Kunden von führenden Telekommunikationsanbietern zu Ausfällen führte. Annie ist eine der fünf Thingbot-Weiterentwicklungen von Mirai. Daneben existieren die Varianten Masuta und Pure Masuta sowie Persirai und Satori – dabei greifen nur die beiden letztgenannten weiterhin Geräte über Telnet an.

„Es ist sehr wahrscheinlich, dass es bereits Thingbot-Angriffe gab, die wir nicht bemerkt haben und deren Urheber bereits davon profitieren, etwa durch das Mining von Kryptowährungen“, erklärt Boddy. „Solange ein IoT-Angriff keine spürbaren Auswirkungen wie beispielsweise eine verringerte Geräte-Performance hat, bleibt er in vielen Fällen unentdeckt.“

Was tun gegen Thingbot-Attacken?

Unternehmen können einiges tun, um nicht Opfer von Thingbot-Attacken zu werden. Dazu gehört in erster Linie eine redundante Auslegung kritischer Systeme, um bei einem Angriff auf einzelne Serviceprovider gewappnet zu sein. Vorkehrungen gegen Credential Stuffing und Multifaktor-Authentisierung schützen vor Angriffen über gestohlene Identitäten. Ebenso wichtig ist es, die Visibilität von verschlüsseltem Traffic im Netzwerk herzustellen, um so getarnten Schadcode zu entdecken. Und nicht zuletzt müssen Geräte, bevor sie sich mit dem Netzwerk verbinden dürfen, erst Systeme passieren, die IT-Sicherheitsereignisse erkennen und unterbinden.

Gleichzeitig ist es zwingend erforderlich, regelmäßig Sicherheits-Audits für die IoT-Geräte durchzuführen, IoT-Produkte vor der Inbetriebnahme zu testen und - das gilt in der IT-Sicherheit immer - robuste Schulungsmaßnahmen für Mitarbeiter durchzuführen.

Auch für die IT-Industrie hat Boddy eine Empfehlung parat: „Alle Sicherheitsexperten und die Entwickler von maschinellem Lernen und Künstlicher Intelligenz sollten gemeinsam an zukunftsweisenden Sicherheitseinrichtungen für IoT-Geräte arbeiten. Die Zukunft braucht neuronale IoT-Netzwerke, die ähnlich funktionieren wie Pilznetzwerke, die ein wirksames Ökosystem entstehen lassen.“

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 0 / Security)