IoT-Thingbots jetzt größte Gefahr für das Internet

Andreas Riepen, Vice President DACH bei F5 Networks, stellt die wichtigsten Ergebnisse einer neuen Studie von F5 Labs vor:

IoT-Thingbots jetzt größte Gefahr für das Internet

IoT-Geräte sind mittlerweile zum wichtigsten Angriffsziel von Cyber-Kriminellen geworden. Das zeigt eine aktuelle Studie von F5 Labs. Diese Attacken übertreffen zahlenmäßig inzwischen die Angriffe auf Web- und Anwendungsdienste sowie E-Mail-Server.

Schon heute gibt es mehr IoT-Geräte als Menschen, wie diverse Untersuchungen feststellen. Damit nicht genug: IoT-Devices vermehren sich mit einer Geschwindigkeit, die weit über dem globalen Bevölkerungswachstum liegt. Doch laxe Sicherheitskontrollen im IoT-Bereich können sogar Menschen gefährden – etwa wenn darüber kritische Infrastrukturen attackiert werden.

Immer mehr neue Thingbots

Laut der fünften Ausgabe der Studie „The Hunt for IoT“ von F5 Labs wurden bereits in der ersten Hälfte des Jahres 2018 dreizehn neue Thingbots entdeckt. Zum Vergleich: Im ganzen Jahr 2017 waren es sechs und 2016 neun. Bei Thingbots handelt es sich um IoT-Geräte, die mit Schad-Software kompromittiert sind.

Demnach wurde Spanien in den letzten 18 Monaten am häufigsten angegriffen. Weitere häufig attackierte Länder waren Russland, Ungarn, die USA und Singapur. Dabei stammten die meisten Angriffe zwischen dem 1. Januar und dem 30. Juni 2018 aus Brasilien (18%), gefolgt von China (15%), Japan (9%), Polen (7%), USA (7%) und Iran (6%). Die am häufigsten von Bots infizierten IoT-Geräte waren Small/Home Office-Router, IP-Kameras, digitale Videorekorder und Videoüberwachungsanlagen.

Häufig genutzte Methoden

Distributed Denial of Service (DDoS) bleibt zwar die meistgenutzte Angriffsmethode bei Thingbots, doch 2018 kamen weitere Methoden hinzu. Dazu gehören die Installation von Proxy-Servern zum Starten von Angriffen, Kryptojacking, die Installation von Tor-Knoten und Paket-Sniffern, DNS-Hijacks, Credential Collection, Credential Stuffing und Betrugstrojaner.

Die häufigste Methode, mit der Angreifer IoT-Geräte aufspürten und infizierten, waren Internet-Scans, die nach offenen Remote-Administrationsdiensten suchten. Telnet und Secure Shell (SSH) waren die beliebtesten Protokolle, gefolgt von Home Network Administration Protocols (HNAP), Universal Plug and Play Protocols (UPnP), Simple Object Access Protocols (SOAP) und anderen Transmission Control Protocol (TCP) Ports, die von IoT-Geräten verwendet werden.

Auch Infrastrukturen und mobile Geräte betroffen

Gemäß der Studie sind IoT-Infrastrukturen „ebenso anfällig für Authentifizierungsangriffe über schwache Anmeldeinformationen wie die IoT-Geräte selbst“. Zur IoT-Infrastruktur gehören vor allem Server und Datenbanken.

Mobile IoT-Gateways sind genauso gefährdet wie herkömmliche drahtgebundene und WiFi-basierte IoT-Geräte. Bis zu 62 Prozent der getesteten Geräte waren anfällig für Angriffe per Fernzugang. Dabei wurden vor allem schwache Standardbenutzerdaten des Herstellers ausgenutzt.

Mirai bleibt gefährlich

Zudem ergab die Studie, dass die Präsenz von Mirai weltweit kaum abnimmt. Zwar ist die Anzahl der Mirai-Scannersysteme von Dezember 2017 bis Juni 2018 leicht gesunken. Europa bleibt jedoch die einzige Region, in der die Infektion mit Mirai-Scannern relativ konstant geblieben ist.

Dabei müssen Unternehmen neben dem ursprünglichen Bot auch mit mindestens 10 Mirai-Ablegern rechnen. Dazu gehören Annie, Satori/Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni und Wicked. Diese Geschwister von Mirai können weitaus mehr als nur DDoS-Angriffe starten. Zum Beispiel setzen sie Proxy-Server ein, um Krypto-Währungen zu suchen und andere Bots zu installieren.

Geeignete Maßnahmen einführen

Insgesamt bedeuten die Ergebnisse: Thingbots verbreiten sich immer stärker und die Angriffsmöglichkeiten auf das IoT nehmen zu. Dies wird für Hersteller von IoT-Geräten deutliche Umsatzeinbußen und für Unternehmen, die diese Geräte einsetzen, erhebliche Kosten zur Folge haben – falls es nicht gelingt, die Sicherheitsprobleme in den Griff zu bekommen. Daher müssen geeignete Sicherheitskontrollen die Bots erkennen und sich entsprechend skalieren lassen. Dabei ist die Bot-Abwehr am Anwendungsperimeter sowie eine Anti-DDoS-Lösung zu installieren.

vor 9 Monaten