zurück zur Übersicht

IoT Threats – Alles neu macht der Mai

IoT Threats„Alles neu macht der Mai, macht die Seele frisch und frei.“, so beginnt ein Liedtext von Hermann Adam von Kamp, einer Art Lobeshymne auf den Frühling und den damit verbunden Neuanfang in der Natur, durch den die dunklen Tage mit winterlicher Kälte zurückgelassen werden. Manchmal wünscht man sich auch beim Thema Cyber Security solch einen Reset, einen Neuanfang, um unbeschwert starten zu können. Doch gerade im Bezug IoT-Geräte (Internet of Things) scheint eher das Gegenteil der Fall zu sein, wie die letzten Wochen gezeigt haben. Massive Angriffe richten sich gegen diese, nur schwer zu sichernden Geräte, wie nachfolgende Beispiele zeigen.

VPNFilter Botnet

Die US-Sicherheitsfirma Talos, Tochter des Router-Herstellers Cisco, machte kürzlich ihre Erkenntnisse über die Entdeckung eines riesigen Botnetzes öffentlich. Dieses besteht nach derzeitigem Kenntnisstand vorwiegend aus SOHO-Routern (Small Office, Home Office) und NAS-Geräten (Network Attached Storage), die durch eine Schadsoftware befallen wurden, die nun den Namen VPNFilter trägt. Talos geht davon aus, dass mindestens 500.000 Geräte in 54 Ländern, vorwiegend jedoch in der Ukraine, davon betroffen sind. Auch in Deutschland sind geschätzt 30.000 Systeme befallen. Aufgrund der Überschneidungen in der Codebasis zwischen VPNFilter und BlackEnergy war bereits bei Bekanntwerden des Angriffs der Verdacht auf APT28 (aka Fancy Bear, Sofacy, Grizzly Steppe, Tsar Team etc.) gefallen, eine Cyber-Spionage-Gruppierung, die mit der russischen Regierung in Verbindung gebracht wird und die in der Vergangenheit für umfangreiche Kampagnen wie NotPetya oder die BlackEnergy Attacken verantwortlich gemacht wurde. Dieser Verdacht scheint nun bestätigt, nachdem es dem FBI gelungen ist, einen wichtigen Teil der Command&Control-Infrastruktur des Botnetzes unter seine Kontrolle zu bringen. Durch Übernahme der Domain toknowall[.]com und Löschung diverser Photobucket Accounts, die ebenfalls der Orchestrierung des Botnets dienten, wurde den Betreibern die Kontrolle über infizierte Systeme entzogen, da diese nach einem Neustart die genannten C&C-Server kontaktieren, um neue Anweisungen entgegen zunehmen. Da es sich um eine mehrstufige Command&Control Infrastruktur handelt und den Angreifern bisher nur die Kontrolle über die erste Stufe entzogen werden konnte, bittet das FBI in diesem Zusammenhang Besitzer der betroffenen Geräte darum, diese neu zu starten. Erst nach einem Neustart, ist die C&C-Kommunikation unterbrochen. Zum einen erhofft sich das FBI dadurch Erkenntnisse über die genaue Anzahl und Verbreitung der betroffenen Geräte, zum anderen sollte auch den Eigentümern an einer Unterbrechung der C&C-Kommunikation gelegen sein, da die Schadsoftware eine Funktion enthält, um die befallenen Geräte dauerhaft unbrauchbar zu machen. Ohne bestehenden C&C-Kanal kann diese nicht mehr zur Ausführung gebracht werden.

Nach aktuellem Informationsstand sind folgende Geräte betroffen:

  • LINKSYS: E1200 / E2500 / WRVS4400N
  • MIKROTIK ROUTEROS Versions for Cloud Core Routers:  1016 / 1036 / 1072
  • NETGEAR: DGN2200 / R6400 / R7000 / R8000 / WNR1000 / WNR2000
  • QNAP: TS251 / TS439 Pro & andere QNAP NAS Geräte auf Basis der QTS Software
  • TP-LINK: R600VPN

Wichtig: Ein Restart des Gerätes bewirkt nur eine Unterbrechung der C&C-Kommunikation. Die modular aufgebaute Schadsoftware wird hierbei nicht von betroffenen Systemen entfernt, da sie Neustarts überdauert. Für eine vollumfängliche Entfernung wird empfohlen, die Geräte auf Werkseinstellung zurück zu setzen und neu zu konfigurieren. Im Fall von NAS-Systemen (QNAP) ist dies ggf. sehr aufwändig, da die auf dem NAS gespeicherten Daten gesichert und nach dem Factory Reset wiederhergestellt werden müssen.

Die von Talos bereitgestellten IoCs (Indicators of Compromise) können benutzt werden, um festzustellen, ob ein System infiziert ist. Mit Hilfe eines IoC Scanners (z.B. Fenrir) kann nach folgenden File Hashes gesucht werden.

Stage #1 File Hashes:

  • 50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
  • 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

Manipulation der DNS-Einstellungen in DrayTek Routern

Auch diverse Router der Vigor-Serie des Herstellers DrayTek befinden sich aktuell im Visier von Angreifern. In einer Sicherheitswarnung weist der Hersteller daraufhin, dass Änderungen an den DNS-Einstellungen bei betroffenen Geräten beobachtet wurden und bittet seine Kunden auf den genannten Routern schnellstmöglich die aktuellen Firmware Updates zu installieren und die DNS Einstellungen zu überprüfen. Über die genaue Vorgehensweise der Angreifer sind noch keine Details bekannt, allerdings suche diese mittels Scans aktiv nach verwundbaren Geräten. Gelingt der Angriff, ist die DNS-Auflösung der mit dem Router verbundenen Netzwerke kompromittiert. Angreifer sind somit in der Lage Anfragen auf beliebige Zielserver umzuleiten.

Z-SHAVE Schwachstelle in Z-WAVE Protokoll

Forscher des Unternehmens PenTest Partners haben kürzlich eine Z-SHAVE genannte Schwachstelle im Z-WAVE Protokoll entdeckt, die es ermöglicht, die Kontrolle über betroffene Geräte zu übernehmen. Besonders brisant macht diese Schwachstelle die Tatsache, dass Z-WAVE ein drahtloser Kommunikationsstandard ist, der vorwiegend für die Kommunikation zwischen Komponenten zur Heimautomatisierung, zum Beispiel auch „smarte“ Schließanlagen, verwendet wird.  Solche Komponenten besitzen eine Reichweite von bis zu 100 Metern. Nach ersten Schätzungen könnten 100 Millionen IoT-Geräte von mehreren tausend Herstellern betroffen sein. Es handelt sich hierbei um eine sog. Downgrade Attacke, bei der durch den Angreifer die Verwendung eines älteren Verschlüsselungsschemas (S0 im Gegensatz zum nicht anfälligen S2 Schema) initiiert wird, das dann den unautorisierten Zugriff auf die Geräte ermöglicht. Demonstriert wurde der Angriff an einem Conexis L1 Smart Door Lock der Firma Yale. Unterstützt wird das verwundbare S0 Verschlüsselungsschema auch von neueren Geräten, um eine Abwärtskompatibilität zu älteren Komponenten zu gewährleisten. Es ist also nicht davon auszugehen, dass die Schwachstelle zeitnah durch durchgängige Verwendung des S2 Schemas behoben wird. Dies hätte zur Folge, dass ältere Komponenten, die nur S0 unterstützen, nicht mehr verwendet werden können. In Installationen, deren Komponenten durchgängig das S2 Schema unterstützen, sollte geprüft werden, ob das S0 Schema über entsprechende Konfigurationsanpassungen deaktivierbar ist.

IoT Devices als Brückenkopf

Alle genannten Beispiele zeigen, dass es für Unternehmen höchste Zeit ist, sich mit dem Risikopotential, das durch IoT Devices in IT-Infrastrukturen induziert wird, auseinanderzusetzen. Für Privatanwender mögen solche Schwachstellen vielleicht nur ärgerlich sein, in Unternehmensnetzwerken können daraus schnell kritische Sicherheitsvorfälle erwachsen, wenn Angreifer vermehrt IoT Devices exploiten, um sie als Brückenköpfe für eine umfassende Infiltration von Unternehmen und Organisationen zu nutzen.

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer