IoT-Bedrohung durch Thingbots steigt weiter

F5 Networks (NASDAQ: FFIV) hat auf der it-sa 2019 eine Studie vorgestellt, welche die zunehmende Verbreitung von Thingbots zeigt. Laut der 6. Ausgabe von „The Hunt for IoT“ wurden 26 neue Thingbots alleine zwischen Oktober 2018 und Januar 2019 entdeckt. 

Zum Vergleich: Im gesamten Jahr 2017 waren es sechs und 2016 neun. Hacker können diese Schadprogramme nutzen, um IoT-Geräte zu kapern und in ein gefährliches Botnetz einzugliedern.

Anzeige

„Die Anzahl der IoT-Bedrohungen wird weiter steigen, bis die Kunden sichere Entwicklungsstrategien für die Herstellung der Geräte fordern“, sagt Sara Boddy, Research Director bei F5 Labs. „Leider wird es noch einige Jahre dauern, bis wir einen spürbaren Einfluss neuer, sicherer IoT-Geräte erkennen, welche die Angriffsfläche reduzieren. Gleichzeitig greifen viele Akteure – vom Skript-Kid bis zum Nationalstaat – weiterhin IoT-Devices an.“

Gemäß der Studie von F5 Labs sind 62 Prozent der IoT-Geräte, die in geschäftskritischen Umgebungen eingesetzt werden, für Angriffe anfällig. Laut Gartner werden im nächsten Jahr mehr als 20 Milliarden IoT-Devices im Umlauf sein. Dann wären entsprechend mindestens 12 Milliarden IoT-Geräte gefährdet.

Europa von Mirai betroffen

Mirai – der bislang bekannteste und erfolgreichste Thingbot – bleibt weiterhin sehr aktiv. Seit Juni 2017 ist Europa am stärksten gefährdet. Daten des F5-Labs-Partners Baffin Bay Networks zeigen, dass sich in der Region die weltweit meisten mit Mirai kompromittierten IoT-Geräte befinden, welche die Infektion weiter verbreiten. Dabei gibt es neben dem ursprünglichen Mirai-Bot eine Vielzahl von Ablegern.

Anzeige

88 Prozent aller bekannten Thingbots wurden nach dem Auftauchen von Mirai entdeckt. Dies liegt vor allem an seiner Bekanntheit und der Verfügbarkeit des Quellcodes. 46 Prozent dieser neuen Entdeckungen sind Mirai-Varianten, von denen viele wesentlich mehr können als DDoS-Angriffe zu starten. Dazu gehören die Installation von Proxy-Servern, des Mining von Kryptowährungen und die Installation anderer Bots.

Weitere wichtige Ergebnisse der Studie:

  • Betroffene Gerätetypen: Thingbots greifen vor allem Small Office/Home Office (SOHO)-Router, IP-Kameras, digitale und Netzwerk-Videorekorder sowie CCTVs an. Die Angriffsmethoden sind meist nicht spezifisch. Durch die große Menge an öffentlich zugänglichen Geräten bleiben diese weiterhin im Fadenkreuz der Angreifer.
  • Angriffsmethoden ändern sich: Thingbots attackieren IoT-Geräte zunehmend über HTTP sowie öffentlich zugängliche UPnP-, HNAP- und SSH-Dienste, die eigentlich geschützt sein sollten. Ganze 30 Prozent der neuen Thingbots zielen auf IoT-Geräte über Common Vulnerabilities and Exposures (CVE).
  • Kostengünstige Angriffe und mehr Möglichkeiten: Sobald der Bot auf einem IoT-Gerät installiert ist, kontaktiert er den C&C-Server und lädt weitere Malware herunter (meist für DDoS-Angriffe). Zudem installieren diese Thingbots oft Proxy-Server, die zum Starten von Angriffen, Sammeln von Informationen, Verschlüsseln von Datenverkehr, Mining von Kryptowährungen und Starten von Angriffen auf Web-Anwendungen verwendet werden. Dabei hat sich der Verkauf von Botnet-Diensten, die zum Teil nur 5 US-Dollar pro Monat kosten, vom Darkweb auf öffentliche Plattformen wie Instagram verlagert.
  • Fehlende Informationen: Für viele neu entdeckte Thingbots gibt es keine detaillierten Informationen. Denn häufig werden Bots entdeckt, bevor sie angreifen. Allerdings bleiben Sicherheitsforscher aufgrund von Gesetzen, die den unbefugten Zugriff auf ein System verbieten, weiterhin mehrere Schritte hinter den Angreifern zurück.

„Unternehmen müssen sich gegen IoT-Bot-Angriffe wappnen“, so Boddy weiter. „Sie sollten dabei mit den häufigsten Attacken beginnen: DDoS und Angriffe auf Web-Anwendungen. Zum Schutz vor DDoS-Attacken empfiehlt sich ein Cloud-Scrubbing-Anbieter, weil das Ausmaß der Angriffe über die Kapazität der meisten Netzwerke hinausgeht. Die Abwehr von Angriffen auf Webanwendungen erfordert Web Application Firewalls mit verhaltensbasierter Bot-Erkennung und Traffic-Blockierung. Zudem sollten keine IoT-Geräte mit bekannten Schwachstellen oder unzureichenden Sicherheitsmechanismen gekauft werden. Geräte, die sich nicht sichern lassen, gehören in Quarantäne oder abgeschaltet.“

www.f5.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.