zurück zur Übersicht

Malware nimmt das Internet der Dinge ins Visier

Internet der Dinge erneut im Visier von HackernDas Internet der Dinge ist nicht nur nützlich und praktisch – sondern leider oft auch eine unterschätzte Gefahrenquelle. Alles was mit dem Internet verbunden ist, ist auch für Hacker erreichbar und damit ein potenzielles Angriffsziel. Kameras, Haushaltsgeräte, Gebäudesteuerungskomponenten, robotische Rasenmäher – alles wird vernetzt und ist damit Teil des Internets. Doch leider weisen gerade diese Systeme oft unzureichende Sicherheitsmaßnahmen auf. Sie besitzen oft keine sichere Standardkonfiguration, bekannte Sicherheitslücken werden selten oder spät geschlossen und Konfigurationsschnittstellen wie Web-GUIs kommunizieren unverschlüsselt. Hinzu kommt, dass viele Benutzer dieser Systeme nun mal keine Systemadministratoren sind und nicht wissen, wie man die Nachlässigkeit der Gerätehersteller mit entsprechenden Maßnahmen ausgleicht. Somit ist es auch nicht verwunderlich, dass Forscher der Firma Eset nun Schadsoftware entdeckt haben, die genau diese Geräte ins Visier nimmt, um sie zu übernehmen und für die Angreifer nutzbar zu machen. Der als KTN-RM, KTN-Remastered oder Linux/Remaiten betitelte Schädling macht sich die oft unsichere Standardkonfiguration von Geräten im Internet der Dinge zu Nutze.

Teamwork bekannter Bots

Die Malware ist eine Kombination aus den zwei bekannten Bots Tsunami und Gafgyt. Tsunami oder Kaiten ist ein Internet Relay Chat Bot, der von Cyber-Kriminellen meist für DDoS-Angriffe (Distributed Denial of Service) benutzt wird und Gafgyt verbreitet sich über Telnet-Scanning. Dabei wird versucht, eine Verbindung zu einer zufälligen IP-Adresse über den TCP-Port 23 herzustellen. Ist die Verbindung hergestellt, versucht die Malware Benutzername und Passwort zu erraten. Werden also leicht zu erratende Passwörter verwendet oder wurden bekannte Standardpasswörter nicht geändert, hat die Malware leichtes Spiel und nach dem erfolgreichen Login lädt der Bot weitere ausführbare Dateien herunter, um sich permanent auf dem System einzunisten und seine eigentlichen Schadfunktionen auszuführen.

Basisschutz für das Internet der Dinge

KTN-RM hat diese Methode der Verbreitung von Gafgyt übernommen und speziell für IoT-Geräte dahingehend ausgebaut, dass die heruntergeladenen, ausführbaren Dateien speziell auf CPU-Architekturen von Embedded-Linux-Geräten ausgerichtet sind und damit die Chancen recht groß sind, dass diese auf IoT-Geräten ausführbar sind. Das Spektrum der potenziellen Ziele ist nahezu unerschöpflich: Router, Navigationssysteme, Smart-TVs, In-Vehicle Infotainment (IVI), Maschinensteuerungen in Produktionsanlagen, Industrial Automation, medizinische Instrumente. Die Liste lässt sich beliebig fortführen und KTN-RM hat es auf sie alle abgesehen. Deshalb ist es unerlässlich all diese Geräte entsprechend abzusichern, bevor sie in Betrieb genommen werden und aus dem Internet erreichbar sind. Die Basis wird dabei mit Maßnahmen gelegt, die eigentlich hinlänglich bekannt sind, aber gerade im Internet der Dinge viel zu oft vernachlässigt werden:

  • Standardpasswörter sind unbedingt zu ändern und durch sichere Passwörter (Mindestlänge 12 Zeichen bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) zu ersetzen.
  • Konfigurationsschnittstellen sollten nur mittels verschlüsselter Kommunikation (z.B. HTTPS oder SSH) und nur für autorisierte Benutzer erreichbar sein. Unverschlüsselter Zugriff (z.B. HTTP oder TELNET) sollte deaktiviert werden.
  • Die Geräte sollten stets mit aktueller Firmware betrieben werden und regelmäßig auf die Verfügbarkeit von Sicherheitsupdates geprüft werden.
  • Enthält das Gerät Funktionen, die nicht benötigt werden, dann sollten diese deaktiviert werden.

Diese Maßnahmen bieten einen guten Basisschutz und sollten den Großteil der möglichen Angriffe abwehren. Doch was, wenn es sich nicht um einen Streuangriff sondern um eine gezielte Attacke auf ein bestimmtes Gerät oder etwa die Produktionssteuerung einer spezifischen Firma handelt? Es gibt durchaus noch weitere Maßnahmen, wie Embedded Devices in kritischen Umgebungen auch gegen ausgefeilte Angriffe geschützt werden können. Kontaktieren Sie uns, wir beraten Sie gern!

Schreibe einen Kommentar