Security-Spezialist Proofpoint warnt vor Thingbots im Internet der Dinge
Der Kühlschrank als Spammer
Die Vernetzung bislang nicht an das Internet angeschlossener Geräte und Maschinen schickt sich unter dem Namen "Internet of Things" (kurz IoT) an, der nächste große Hype zu werden. Security-as-a-Service-Anbieter Proofpoint warnt nun vor der dunklen Seite des IoT: Man habe "den möglicherweise ersten nachweisbaren IoT-basierten Cyberangriff" aufgedeckt.
Bei dem Angriff wurden laut Proofpoint über 750.000 Malware-E-Mails von mehr als 100.000 Gebrauchsgegenständen verschickt, darunter vernetzte Multimedia-Center, Fernseher und sogar „mindestens ein“ vernetzter Kühlschrank. Letzteres birgt eine gewisse Ironie, da Internet-fähige Kühlschränke schon seit Jahren als ein Paradebeispiel für die Vernetzung „von allem mit allem“ herhalten mussten, obwohl für sie jahrelang kein wirklicher Nutzen zu finden war. Dieses ungenutzte Potenzial haben nun offenbar die Spam- und Malware-Versender für sich entdeckt. Zu den betroffenen Geräten zählten laut Proofpoint zudem NAS-Devices und Set-Top-Boxen sowie wohl auch Spielekonsolen.
Die „intelligenten“ Geräte wurden laut Proofpoint-Verlautbarung gekapert, um sie als „Thingbots“ zu nutzen, sie also zu einer Plattform zur Ausführung von Spam-Versand oder Angriffen umzufunktionieren. Der von Proofpoint aufgedeckte Angriff erfolgte zwischen dem 23.12.2013 und dem 6.1.2014. Die Angreifer verschickten laut dem Security-Provider mehrere Wellen schadhafter E-Mails – in der Regel dreimal täglich 100.000 gleichzeitig – an Unternehmen und Einzelpersonen weltweit.
Von den laut Proofpoint-Angaben 450.000 verwendeten IP-Adressen gehörten 100.000 zu IoT-Devices. Mehr als 25 Prozent des Gesamtvolumens sei von Geräten ausgegangen, bei denen es sich nicht um herkömmliche Computer oder Mobilgeräte handelte. Da maximal zehn E-Mails von einer einzelnen IP-Adresse stammten, so Proofpoint, sei der Angriff nur schwer nach Herkunft zu blockieren gewesen.
Viele dieser Geräte, so Proofpoint, nutzen eingebettete Linux-Server (meist Busybox), einige nutzten Mini-HTTPD, einige Apache. Auf Hardwareseite seien sowohl ARM-basierte Geräte als auch Devices mit anderen Plattformen wie Realtek-Chipsätzen betroffen.
Häufig mussten die Angreifer die Geräte allerdings nicht einmal aufwendig manipulieren: Sie konnten die Geräte laut Proofpoint oft aufgrund fehlerhafter Konfigurationen und der Nutzung von Standardpasswörtern mühelos per Fernzugriff kapern.
„Botnets stellen bereits ein größeres Sicherheitsproblem dar, und das Aufkommen von Thingbots kann die Situation noch deutlich verschlimmern“, so David Knight, General Manager der Abteilung für Informationssicherheit bei Proofpoint. „Viele dieser Geräte sind bestenfalls schlecht geschützt, und der Anwender hat praktisch keine Möglichkeit, laufende Manipulationen zu erkennen, geschweige denn zu bekämpfen. Unternehmen können breit gestreuten Angriffen ausgesetzt sein, da diese Geräte zunehmend online geschaltet sind und die Angreifer neue Wege finden, dies auszunutzen.“
Der Nachweis eines IoT-basierten Angriffs sollte deshalb den Herstellern solcher Geräte als Weckruf dienen, sich rasch und gründlich um die Absicherung ihrer Geräte gegen unautorisierte Fernzugriffe zu kümmern. Denn die „intelligenten“ Geräte sind laut Proofpoint „in der Regel schlecht geschützt“. Damit böten sie leichte Ziele, die einfacher zu infizieren und zu steuern seien als PCs, Notebooks oder Tablets.
Lesen Sie mehr zum Thema
