BLOG

Thingbots verwandeln sich in Angriffsplattformen

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 29. November 2018

Das ist keine Übung. Die Bedrohung durch Thingbots ist existenziell und wächst mit jedem vernetzten Gerät, das wir installieren.

Ich habe einen Shetland Sheepdog, der etwas gegen meinen Toaster hat. Immer wenn es an ist, bellt er und springt es an, als wäre es eine Bedrohung. Mein Mann und ich scherzen, dass der Hund denkt, der Toaster sei ein Decepticon. Oder zumindest taten wir das, bis ich den neuesten Bericht von F5 Labs gelesen habe. Jetzt frage ich mich, ob mein Hund vielleicht etwas weiß, was wir nicht wissen.  

F5 Labs verfolgt und berichtet seit Jahren über Angriffe auf IoT-Geräte. Dazu zählen neben den üblichen IP-Kameras und SOHO-Routern auch Ihr Fernseher, Ihr Herd, Ihr Kühlschrank und Ihre Keurig-Kaffeemaschine.

Sie haben richtig gelesen – F5 Labs hat Angriffsverkehr beobachtet, der von einer Kaffeemaschine von Keurig ausging. Dadurch erscheint der Argwohn meines Hundes gegenüber meinem Toaster nicht mehr so verrückt wie noch vor einem Moment, nicht wahr?

Der neueste Bericht von F5 Labs, der Daten zu weltweiten Angriffen auf IoT-Geräte von Januar bis Juni 2018 umfasst, ist ernüchternd. Dies liegt nicht nur daran, dass IoT-Geräte weiterhin angegriffen werden oder sogar anfällig für Angriffe sind, sondern auch an den stattfindenden Veränderungen.

Der Bericht stellt fest, dass 74 % der uns bekannten „Thingbots“ in den letzten zwei Jahren entwickelt wurden. Allein im Jahr 2018 wurden dreizehn Thingbots entdeckt und es handelt sich dabei nicht mehr um Bots mit einem oder mehreren Verwendungszwecken. Es hat einen Trend zu kostenpflichtigen Mehrzweck-Angriffsbots gegeben, die Proxy-Server einsetzen.

Thingbots werden in Angriffsplattformen umgewandelt. Sie sind dynamisch und konfigurierbar und können eine Vielzahl von Angriffen starten – von Cryptojacking über Packet Sniffer bis hin zu DNS-Hijacking und Credential Stuffing. Angreifer rekrutieren nicht nur IoT-Geräte, sie bilden sie zu Supersoldaten für ihre digitalen Armeen aus.

Angesichts der Leichtigkeit, mit der Angreifer Geräte kompromittieren können, ist dieser Wandel beunruhigend. Die Möglichkeit, ein einzelnes kompromittiertes Gerät für mehrere Angriffsarten zu nutzen, verschafft den „Besitzern“ dieser Botnetze einen wirtschaftlichen Vorteil. Die Vermietung von Netzwerken kompromittierter Geräte ist seit langem ein lukratives Geschäft, aber die Fähigkeit, Ihr Portfolio zu diversifizieren, ist in jedem Markt von Vorteil.

Lassen Sie sich nicht täuschen und glauben, dies sei kein Markt. Das ist es, und indem sie Thingbots in Plattformen verwandeln, garantieren Angreifer, dass es sich um einen Wachstumsmarkt handelt.

Frustrierend ist, dass wir diesen Markt weiterhin anheizen. Hersteller und Dienstanbieter verlassen sich dabei auf schwache Standardanmeldeinformationen, die leicht entdeckt oder erraten werden können. Im Bericht von F5 Labs heißt es: „88 Prozent (1) der Anmeldeinformationen auf der Liste der 50 am häufigsten angegriffenen Anmeldeinformationen vom 1. Januar 2018 bis zum 30. Juni 2018 haben denselben Benutzernamen und dasselbe Passwort.“ Dazu gehören ‚root:root‘, ‚admin:admin‘ und ‚user:user‘.“

Angreifer wissen das und nutzen es mit alarmierender Erfolgsquote aus. Dieser Erfolg wird dadurch unterstützt, dass die Verbraucher diese Standardanmeldeinformationen nicht ändern.  Und wenn Angreifer erst einmal die Kontrolle über einen SOHO-Router haben, ist es ein Leichtes, alle Geräte im Netzwerk anzugreifen, die andernfalls möglicherweise nicht zugänglich gewesen wären.

Wie Ihre Kaffeemaschine. Oder vielleicht mein Toaster.

Es wird interessant sein zu sehen, ob das am 1. Januar 2020 in Kraft tretende Verbot von Standardpasswörtern in Kalifornien messbare Auswirkungen haben wird. Der Gesetzentwurf schreibt vor, dass jedes in Kalifornien verkaufte vernetzte Gerät entweder bei der Herstellung über ein individuelles Passwort verfügen muss oder bei der ersten Benutzerinteraktion die Erstellung eines solchen Passworts erfordert. Angesichts der globalen Natur des Marktes wird diese Anforderung wahrscheinlich Auswirkungen auf Geräte haben, die überall verkauft werden. Darin sind allerdings nur Geräte enthalten, die nach dem 1. Januar 2020 verkauft wurden. Es wird keine Auswirkungen auf die jetzt und in den nächsten zwei Jahren verkauften Geräte haben. Bis dahin könnte das globale Netzwerk kompromittierter Geräte so groß sein, dass es keine so große Hilfe mehr darstellt, wie es hätte sein können, wenn dieses Gesetz – oder ein ähnliches Gesetz in einem anderen Staat – schon vor Jahren in Kraft getreten wäre.

Es lohnt sich, den neuesten Bericht von F5 Labs zu lesen, um zu verstehen, welche große Bedrohung Thingbots nicht nur für digitales Eigentum, sondern auch für Menschen darstellen. Jeder Aspekt unseres Lebens unterliegt einem digitalen Wandel und das IoT trägt maßgeblich zu diesem Wandel bei. Indem sie sich die Geräte aneignen, auf die unsere Polizei, Feuerwehr und unser medizinisches Personal angewiesen sind, können Angreifer unsere Gesundheit und Sicherheit gefährden. Die Kontrolle der digitalen Beschilderung, die den Verkehr auf Autobahnen leitet und lenkt, könnte katastrophale Folgen haben.

Je mehr wir uns auf IoT-Geräte verlassen, desto größer wird die Gefahr, dass sie kompromittiert werden.