In unserer Service-Rubrik halten wir Sie über aktuelle IT-Sicherheitsthemen auf dem Laufenden. Heute geht es um Schadsoftware. Von Jan van der Meulen, Chief Technology Officer bei VIDEOR.

Geräte, auf die über das Internet zugegriffen werden kann, stellen immer ein großes Sicherheitsrisiko dar. Als vor zirka drei Jahren das Mirai-Botnetz sein Unwesen trieb, führten wir zu Forschungszwecken einen Test durch.

Hierfür stellten wir eine Kamera mit einem erreichbaren Telnet-Dienst und sehr einfachen Zugangsdaten ins Internet und beobachteten, was passiert. Bereits nach wenigen Minuten wurde die Kamera zweckentfremdet. Ein vollautomatisches Skript hatte die Kamera im Internet gefunden und einen Angriff gestartet.

Zunächst wurden die Zugangsdaten der Kamera durch Ausprobieren von üblichen Benutzer-/Passwortkombinationen ermittelt. Nachdem der Zugang hergestellt war, wurden das Betriebssystem und die Hardware analysiert. Als dann klar war, um welches Betriebssystem und um welche Prozessorarchitektur es sich handelte, wurde eine maßgeschneiderte Schadsoftware für dieses System aus dem Internet heruntergeladen, installiert und gestartet.

Die Kamera begann daraufhin, nach weiteren Opfern im Internet zu suchen, damit das Botnetz weiter wuchs. Die Kamera hätte fortan, z. B. im Rahmen eines DDoS-Angriffs, eingesetzt werden können, um Angriffe auf Webseiten oder Dienste durchzuführen. Häufig geschieht dies im Rahmen von Erpressungsversuchen, da ein Serviceausfall für viele Anbieter von Onlinediensten hohe Kosten mit sich bringen kann.

Die Vorgehensweise der Schadsoftware konnten wir an unserem präparierten Testobjekt im Nachhinein sehr schön nachvollziehen: Zu dieser Zeit hatte das Mirai-Botnetz eine Größe von etwa 500.000 Geräten, bestehend aus Routern, Kameras, Rekordern und vielen weiteren IoT-Geräten.

Wenn das Sicherheitssystem mit den Seychellen telefoniert

Vor Kurzem bekamen wir eine Kamera zugeschickt, um deren Integrationstiefe in einen Rekorder zu bewerten. Nach ersten Tests stellten wir die Kamera dem Hersteller des Rekorders über eine öffentliche IP-Adresse zur Verfügung – natürlich mit sicheren Zugangsdaten, aktueller Firmware und in einem separaten Netzwerk, ohne Zugriffsmöglichkeiten auf weitere Geräte. Der Hersteller des Rekorders begann daraufhin mit der Integration der Kamera.

Nach etwa zwei Wochen erhielten wir von unserer IT-Abteilung eine Information, dass ein gewisses Gerät – es war die Kamera des Kunden – begonnen hatte, Kontakt zu einer IP-Adresse aufzunehmen, die vom Hersteller unserer Sicherheitslösung auf eine Sperrliste gesetzt wurde. Natürlich haben wir das Gerät daraufhin sofort abgeschaltet und mit der Recherche begonnen. Die IP-Adresse, an die Daten gesendet werden sollten, ist an eine Firma auf den Seychellen vergeben.

Warum aber begann die Kamera erst nach zwei Wochen damit, Daten an diese IP-Adresse zu senden?

Eine Recherche bei einem großen Suchmaschinenanbieter zeigte, dass diese IP-Adresse für alle möglichen Arten von Angriffen sowie den Versand von Spam-Mails und häufige unerlaubte Schwachstellenscans bekannt ist. Es gab hunderte Berichte und Meldungen über diese Adresse.

Die Kamera wurde also nach etwa zwei Wochen von einem Angreifer übernommen. Sehr wahrscheinlich ist es dem Angreifer, trotz aktueller Firmware und sicheren Zugangsdaten, gelungen, auf der Kamera eine Schadsoftware zu installieren, die die Kamera in ein Botnetz einband.

Mit diesen beiden Geschichten möchte ich nur das untermauern, was Sie sicher schon viele Male gehört haben: Geräte, auf die über das Internet zugegriffen werden kann, stellen immer ein großes Sicherheitsrisiko dar, sowohl für die Allgemeinheit, da von infizierten Geräten weitere Angriffe initiiert werden, als auch für das eigene Netzwerk. Im schlimmsten Fall kann eine Kamera ein Zugangspunkt/Relay für das gesamte Firmennetz darstellen, von dem aus gemütlich nach weiteren verwundbaren Systemen im Netzwerk gesucht werden kann.

Auch wenn aktuell keine Schwachstellen für ein Gerät bekannt sind, bedeutet das nicht, dass es nicht doch jemanden da draußen gibt, der weiß, wie man das Gerät übernehmen kann. Über vollautomatische Tools zur Suche nach Schwachstellen haben wir in dieser Kolumne bereits berichtet.