InfoGuard Cyber Security & Cyber Defence Blog

IoT-Botnets – wenn Open Source missbraucht wird

Geschrieben von Corinne Lenherr | 12. Apr 2019

Bereicherung, Schädigung, Spionage – die Gründe für einen Cyberangriff sind vielfältig. Dazu werden oftmals öffentlich verfügbare Quellen auf Informationen durchsucht, denn die sind nicht klassifiziert und somit legal und kostenlos. In einem älteren Artikel haben wir Ihnen bereits erklärt, was Open Source Intelligence (OSINT) mit Cyber Security zu tun hat und wie unsere Experten OSINT nutzen. Das Grundprinzip von Open Source ist, dass es für jeden frei zugänglich ist – in den meisten Fällen mit gutartigen Absichten. Aber eben nicht immer…

Wie bei so vielen technologischen Erfolgsgeschichten, gibt es auch bei Open Source eine Schattenseite. Für Entwickler war Open Source ohne Frage ein Segen. Der Aufschwung begann Anfang der 90er Jahre. Das Internet hatte sich weit genug ausgebreitet und verband zunächst vor allem Netzwerke an Universitäten. Später ermöglichten die ersten Internet Service Provider einen privaten Internetanschluss. Von da an ging es rasant weiter, da immer mehr freie Betriebssysteme von Programmierern weltweit gefördert wurden. Und kurz vor dem Millennium war sie schliesslich da: die Open Source Software.

IoT – ein globaler Computer

Aber genug Geschichtsunterricht! Natürlich wollte man schnellst möglich alles verbinden und die gesammelten Daten erschliessen. Sicherheit war dabei oft nebensächlich. Mit IoT wurde ein globaler Computer gebaut – aber wie behält man ihn im Griff? Bruce Schneier erläuterte am InfoGuard Talk im vergangenen Herbst eindrücklich, weshalb das Internet of Things unsicherer ist, als viele glauben (wollen). IoT-Netzwerke und -Geräte haben sich schnell verbreitet und sind mitunter deswegen relativ anfällig. Daher sind sie – natürlich – ein beliebtes Ziel von Hackern.

Im Herbst 2016 wurde der Quellcode für Mirai veröffentlicht. Sie erinnern sich: Mirai ist eine Linux-Schadsoftware, mit deren Hilfe Botnets erstellt werden können. Der Quellcode wurde schnell zum Framework für Malware verwendet, die auf IoT-Geräte abzielt. Malware, die auf dem Open Source Mirai Code basiert, kann schnell Hunderte von Geräten in IoT-Botnets einbinden und diese für Angriffe verwenden.

5 bekannte Varianten mit einprägsamen Namen

Satori, JenX, OMG, Wicked und Reaper – das sind die wahrscheinlich bekanntesten fünf Varianten, die auf der Basis dieses Codes gebaut wurden. OMG zum Beispiel fügt dabei ein neues Feature in Form eines HTTP- und SOCKS-Proxy hinzu. Dadurch fungiert ein infiziertes IoT-Gerät als Drehpunkt, was dem Bot-Autor die Möglichkeit gibt, durch Scans neue Schwachstellen zu finden oder zusätzliche Angriffe zu starten, ohne die ursprüngliche Binärdatei zu aktualisieren. Weiter kann der Bot-Autor je nachdem, um was für ein IoT-Gerät es sich handelt und wie es verbunden ist, in private Netzwerke umwandeln. Sprich: Die Unternehmens-internen IoT-Geräte können gegen Sie verwendet werden, um Angriffe innerhalb des Netzwerks zu starten.

Reaper wiederum unterscheidet sich in einigen wichtigen Verhaltensweisen deutlich von den anderen. Zum einen ist er sehr intelligent und bildet sich laufend weiter. So baut er zum Beispiel massive Botnets, mit denen – theoretisch – das ganze Internet lahmgelegt werden kann. Dazu nistet sich Reaper unbemerkt in Netzwerke ein und rekrutiert von da aus immer neue IoT-Geräte, welche wiederum die Infektion weitergeben. Die Schäden, die ein solch massives Botnet anrichten kann, sind gewaltig. Es wird vermutet, dass das Schadenspotenzial von Reaper zig Mal höher ist als das Mirai-Botnet aus dem Jahr 2016.

VPNFilter Malware und was sie kann

Open Source für Malware einzusetzen, ist natürlich nicht neu. Neben Mirai hat beispielsweise die Malware VPNFilter der Thematik eine ganz neue Dimension gegeben, indem sie eine halbe Million Router in 54 Ländern infiziert hat. 

Das Ziel der VPNFilter Malware ist es nicht, IoT-Gerät blind für DDoS-Angriffe auszunutzen. Nein, VPNFilter ist viel ausgefeilter und durchläuft nach der Erstinfektion mehrere Stufen. Eine davon ist die Durchführung eines klassischen Man-in-the-Middle-Angriffs durch das Erschnüffeln von Daten in einem Netzwerk, das mit dem infizierten Gerät verbunden ist. Die Daten werden dann verschlüsselt und über ein Tor-Netzwerk übertragen. Zudem kann die Malware auch den Ursprung nachfolgender Angriffe verbergen. Doch das ist noch lange nicht das Ende der Geschichte. Fakt ist, dass IoT-Geräte boomen, wodurch sich IoT-Botnets noch schneller verbreiten können – und werden…

Und was kann ich gegen IoT-Botnets unternehmen?

Für die Betreiber von IoT-Netzwerken ist es elementar, dass sie Richtlinien erstellen und Best Practices bezüglich Patches und Updates strikt befolgen. So können erkannte Schwachstellen von Geräten auch im Nachhinein beseitigt werden. Darüber hinaus muss das zuständige Team einen umfassenden Einblick in alle Bereiche des Netzwerks haben. Sicherheitsteams sollten aber auch laufend über aktuelle, globale Bedrohungen informiert sein und sich austauschen, um die Angriffe und Vorboten eines Angriffs besser erkennen zu können.

Sie sehen – jede Medaille hat auch ihre Kehrseite. So ist auch die Open Source-Bewegung nicht ohne negative Folgen; wenn auch unbeabsichtigt. Cyberkriminelle sind ebenso klug wie hinterlistig. Sie werden alle verfügbaren Mittel einsetzen, um die Netzwerke (und deren Möglichkeiten) zu nutzen, von denen wir zunehmend abhängig sind. Bleiben Sie wachsam und setzen Sie auf eine starke Abwehr. Nur so können Sie sich vor der wachsenden Bedrohung durch IoT-Botnets schützen!

Wissen als effektiv(st)es Instrument zur Abwehr von Cyberattacken

Je mehr Sie wissen, desto besser können Sie sich schützen. Und was ist wertvoller, als kostenlose Experten-Tipps? Bleiben Sie up to date und verpassen Sie keine Blogbeiträge von unseren Cyber Security-Experten. Wöchentlich berichten diese über aktuelle Trends, Gefahren, Lösungen und geben wertvolle Insights aus der Welt der Cyber Security und Defence. Ausserdem veröffentlichen wir regemässig Whitepapers, Checklisten, Videos usw., die Sie im Alltag nutzen können. Worauf warten Sie noch?

 

*in Kooperation mit Netscout Arbor