Ransomware und IoT

Wenn Ransomware auf IoT trifft: Warum IoT-Geräte einen anderen Sicherheitsansatz brauchen

, München, Check Point | Autor: Christine Schönig

Wenn Ransomware auf IoT trifft: Warum IoT-Geräte einen anderen Sicherheitsansatz brauchen

Die Einfallstore

Von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point

Angriffe auf IoT-Geräte nehmen täglich zu und werden leider immer raffinierter und zerstörerischer für jedes Unternehmen. In vielen Fällen wurden Hunderttausende von angeschlossenen Geräten mit Malware infiziert, die sich über das gesamte Netzwerk ausbreitete und PCs, Server und interne Anlagen mit Ransomware, Krypto-Minern, Trojanern, Botnets und mehr kompromittierte. Im Folgenden sollen die Fragen geklärt werden, warum diese Schwachstellen bestehen, wie Cyberkriminelle sich Zugang verschaffen und wie man einige bewährte Verfahren implementieren kann, um Unternehmen vor Cyberangriffen zu schützen.

In der Welt der Cybersicherheit ist jeder Schutzmechanismus nur so stark wie sein schwächstes Glied. Dies gilt sowohl für ein einzelnes Gerät als auch für ein ganzes Netzwerk. Dieses schwächste Glied in einem Netzwerk sind Geräte am Netzwerkrand, die über das Internet zugänglich sind. Dazu gehören viele verschiedene Gerätetypen von IP-Kameras, Routern und Sensoren auf dem Firmengelände bis hin zu Geräten, die vor Ort eingesetzt werden, wie Zapfsäulen, EV-Ladegeräte und Geldautomaten. Alle diese Geräte sind mit dem Internet verbunden und für den Fernzugriff gedacht.

Abbildung 1: Abfolge eines Angriffs auf IoT-Geräte

Das Netzwerkumfeld

Wenn Angreifer versuchen, in ein Netzwerk einzudringen, scannen sie die Umgebung in der Regel nach diesen angeschlossenen Geräten, die sie möglicherweise als Einstiegspunkte in das Netzwerk nutzen können. IoT-Geräte sind praktisch ein nützliches Sprungbrett für Cyberangriffe, da sie oftmals mit veralteter Software arbeiten oder nicht auf Sicherheitsereignisse überwacht werden. Aufgrund des Umfangs und der großen Vielfalt dieser Geräte sind herkömmliche Maßnahmen zur Reaktion auf Vorfälle möglicherweise nicht so effektiv wie üblich. Ein einziger Universitätscampus kann zum Beispiel Dutzende verschiedener Geräte beherbergen. Wenn so viele Geräte in einem Netzwerk auf einmal angegriffen werden, ist es schwierig, den Überblick darüber zu behalten, wo die Schwachstellen liegen. Es ist auch wichtig zu wissen, dass es nie nur einen einzigen Fehlerpunkt gibt.

Was danach passiert

Eine Angriffskampagne ist nicht mit einem „Hit and Run“-Szenario vergleichbar. Manchmal verstecken sich Angreifer lange Zeit im Verborgenen und warten auf den richtigen Moment, um zuzuschlagen, während sie Erkundungsmissionen durchführen, um sich mit dem Netzwerk ihres potenziellen Opfers vertraut zu machen. Bei einem Angriff besteht eines der Ziele des Angreifers darin, sich im gesamten Zielnetz zu bewegen. Sie wollen sich im gesamten Netzwerk frei bewegen und andere interne Anlagen und Einrichtungen angreifen. Durch die Ausnutzung von Servern, PCs und gewöhnlichen Bürogeräten wie Druckern und Routern verbessern die Angreifer ihre Möglichkeiten, eine breitere Kontrolle über das Netzwerk zu erlangen. Häufig nutzen die Angreifer diese Kontrolle für verschiedene Zwecke wie Datendiebstahl, Erpressung und vieles mehr aus. Was als einfache Lücke in einer Reihe von Geräten begann, kann sich schnell zu einer ausgewachsenen Angriffskampagne mit potenziell verheerenden Folgen entwickeln.

Prominente Beispiele für Angriffe auf IoT-Geräte

Sobald eine Ransomware-Infektion in das Netzwerk eingedrungen ist, kann sie sich an so viele Geräte anhängen, dass es fast unmöglich wird, sie zu beseitigen. Ein berüchtigtes Beispiel für einen solchen Fall, bei dem ein IoT-Gerätenetzwerk gekapert wurde, wird in dem von Vedere Labs veröffentlichten Forschungspapier R4IoT vorgestellt. Der dort beschriebene Angriff begann mit der Ausnutzung von Schwachstellen in Axis-Kameras (CVE-2018-10660, CVE-2018-10661) und einem Zyxel NAS (CVE-2020-9054). Über diese Netzwerkstützpunkte konnte sich die Malware lateral ausbreiten, um weitere zahlreiche Netzwerkkomponenten zu übernehmen, Informationen zu stehlen und andere Geräte mit Ransomware zu infizieren. In diesem Fall waren die Sicherheitsforscher in der Lage, alte Schwachstellen auszunutzen, nur um die Wirkung von Malware auf Geräte mit ungepatchter Firmware zu demonstrieren. Diese Schwachstellen ermöglichen es Angreifern, über eine nicht authentifizierte Schnittstelle auf dem Gerät vollen Zugriff zu erhalten.

Ein weiteres Beispiel für ein Angriffsszenario (CVE-2022-29499) wurde kürzlich in Mitel IP Phones entdeckt. Diese Schwachstelle ermöglichte es Angreifern, beliebige Befehle auf diesen Geräten auszuführen, so dass Angreifer im Wesentlichen tun konnten, was sie wollten. Im Gegensatz zu den in der R4IoT Forschungsarbeit hervorgehobenen Schwachstellen, die mit herkömmlichen signaturbasierten Produkten behoben werden können, können Angreifer, die diese Mitel-Schwachstelle ausnutzen, praktisch ungehindert ihr Unwesen treiben.

Es ist kaum zu glauben, wie einfach es ist, Malware-Angriffe zu initiieren. Oft können Angriffe wie die oben genannten kostengünstig über unregulierte Märkte erworben werden. Vor einigen Wochen beschlagnahmte das US-Justizministerium eine Website namens RSOCKS. Dabei handelte es sich um einen in Russland ansässigen Webdienst, der Proxys verkaufte, die Angreifer häufig für Krypto-Mining-Aktivitäten, DDOS-Angriffe und vieles mehr nutzten. Die meisten Angreifer waren in der Lage, die Kontrolle über mit dem Netzwerk verbundene Geräte und Anlagen zu erlangen, indem sie einfach die Standardanmeldeinformationen verwendeten oder schwache Kennwörter errieten. Diese Methode des Erratens von Anmeldeinformationen oder des Ausprobierens von Standard-Benutzernamen und -Passwörtern häufte ein bösartiges Netzwerk mit mehr als 350 000 Privat-, Büro- und Heimgeräten an.

Abbildung 2: Beschlagnahmte Website RSOCKS

Fazit

Anbieter von IoT-Geräten sind in ihrem Bereich außergewöhnlich, wenn es darum geht, sicherzustellen, dass ihre Produkte wie vorgesehen funktionieren. Allerdings sind dieselben Gerätehersteller bei weitem keine Sicherheitsexperten. In der heutigen Cyberlandschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind. Es ist unpraktisch, ein Patch nach dem anderen für jede Schwachstelle und jedes Exploit zu implementieren, die in freier Wildbahn auftauchen. Und selbst wenn die Softwarehersteller regelmäßig Updates für die Geräte herausgeben, zeigen Untersuchungen, dass Betreiber und Endbenutzer ihre Geräte oft nicht warten und auf dem neuesten Stand halten. Was in diesem Fall benötigt wird, ist eine zukunftssichere Lösung, die diese Hindernisse aus dem Weg räumen kann.

Cybersicherheit in der IoT-Welt wird noch lange ein Thema bleiben, mit immer neuen Innovationen auf beiden Seiten. Grundlegende Sicherheitslösungen zur Überwachung und Erkennung reichen in der heutigen modernen Cyberlandschaft nicht mehr aus. Ohne eine Cybersicherheitslösung, die Cyberangriffe in Echtzeit erkennen und verhindern kann, können wir nicht auf einen Sieg gegen die Cyberkriminellen hoffen.