F5 Networks warnt vor zunehmender Verbreitung schädlicher Thingbots, also Malware zur Infektion von IoT-Gerätschaft. Laut dem aktuellen „The Hunt for IoT“-Report hat F5 allein im Vorjahresquartal (Oktober 2018 bis Januar 2019) 26 neue Thingbots entdeckt. Zum Vergleich: Im gesamten Jahr 2017 waren es sechs und 2016 neun. Ein Hacker, so warnt F5, könne derlei Schadprogramme nutzen, um IoT-Geräte zu kapern und in ein Botnet einzugliedern.

„Die Anzahl der IoT-Bedrohungen wird weiter steigen, bis die Kunden sichere Entwicklungsstrategien für die Herstellung der Geräte fordern“, so Sara Boddy, Research Director bei F5 Labs. „Leider wird es noch einige Jahre dauern, bis wir einen spürbaren Einfluss neuer, sicherer IoT-Geräte erkennen, die die Angriffsfläche reduzieren. Gleichzeitig greifen viele Akteure – vom Skript-Kid bis zum Nationalstaat – weiterhin IoT-Geräte an.“

Gemäß Berechnungen von F5 Labs sind stolze 62 Prozent der IoT-Geräte, die in geschäftskritischen Umgebungen zum Einsatz kommen, anfällig für Angriffe. Laut Gartner sollen nächstes Jahr mehr als 20 Milliarden IoT-Devices im Umlauf sein. Dann wären entsprechend mindestens 12 Milliarden IoT-Geräte gefährdet (von denen allerdings nur ein kleiner Bruchteil in „geschäftskritischen“ Umgebungen installiert sein dürfte).

Mirai – das bislang bekannteste und erfolgreichste Botnet aus Thingbots – bleibt laut F5 weiterhin sehr aktiv. Seit Juni 2017 sei Europa am stärksten gefährdet. Daten des F5-Labs-Partners Baffin Bay Networks zeigten, dass sich in der Region die weltweit meisten mit Mirai kompromittierten IoT-Geräte befinden und die Infektion weiter verbreiten. Dabei gebe es neben dem ursprünglichen Mirai-Bot eine Vielzahl von Ablegern.

88 Prozent aller bekannten Thingbots wurden laut F5 nach dem Auftauchen von Mirai entdeckt. Dies liege vor allem an seiner Bekanntheit und der Verfügbarkeit des Quellcodes. 46 Prozent dieser neuen Entdeckungen seien Mirai-Varianten, von denen viele zu wesentlich mehr in der Lage seien, als lediglich DDoS-Angriffe zu starten, etwa zur Installation von Proxy-Servern, zum Mining von Kryptowährungen und zur Installation weiterer Bots.

Thingbots greifen laut der Untersuchung vor allem SOHO-Router (Small Office/Home Office), IP-Kameras, digitale und Netzwerk-Videorekorder sowie Überwachungskameras an. Die Angriffsmethoden seien meist nicht spezifisch. Problematisch sei hier die große Menge an öffentlich zugänglichen Geräten.

Die Angreiferseite attackiere IoT-Geräte zunehmend über HTTP sowie öffentlich zugängliche UPnP-, HNAP- und SSH-Dienste, die eigentlich geschützt sein sollten. Fast ein Drittel (30 Prozent) der neuen Thingbots ziele auf IoT-Geräte über bekannte Schwachstellen (Common Vulnerabilities and Exposures, CVEs).

Sobald ein Bot auf einem IoT-Gerät installiert ist, kontaktiere er den C&C-Server (Command and Control) und lade weitere Malware herunter (meist für DDoS-Angriffe). Zudem installiere er oft Proxy-Server, etwa zum Starten von Angriffen, Sammeln von Informationen, Verschlüsseln von Datenverkehr, Mining von Kryptowährungen und Starten von Angriffen auf Web-Anwendungen. Der Verkauf von Botnet-Diensten, die zum Teil nur fünf Dollar pro Monat kosten, habe sich vom Darkweb auf öffentliche Plattformen wie Instagram verlagert.

„Unternehmen müssen sich gegen IoT-Bot-Angriffe wappnen“, so F5-Forschungsleiterin Boddy. „Sie sollten dabei mit den häufigsten Attacken beginnen: DDoS und Angriffe auf Web-Anwendungen. Zum Schutz vor DDoS-Angriffen empfiehlt sich ein Cloud-Scrubbing-Anbieter (Cloud-Scrubbing: Bereinigung des DDoS-Datenverkehrs per Cloud-basiertem Anti-DDoS-Service, d.Red.), weil das Ausmaß der Angriffe über die Kapazität der meisten Netzwerke hinausgeht.“

Weitere Informatioenn finden sich unter www.f5.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.