Ransomware und DDoS gegen IoT-Systeme

Cybercrime mit Hilfe künstlicher Intelligenz Ransomware und DDoS gegen IoT-Systeme

04.02.2021 Von Anna Kobylinska und Filipe Martins |

Anbieter zum Thema

Die fortschreitende Digitalisierung versetzt Unternehmen in einen chronischen Bedrohungszustand. Die Evolution von Angriffstaktiken ist nur durch den Wettlauf zur Aufrüstung IoT-isierter Lieferketten, Fertigungsprozesse und sonstiger Geschäftsabläufe zu schlagen. Für die Betroffenen gilt: mit KI-Lösungen Vollgas voraus.

Neuartige DDoS-Angriffe zielen auf IoT-Endgeräte und gehen immer öfter mit Ransomware-Forderungen einher.
(© Suttipun - stock.adobe.com)

Lieferketten – seit jeher Tatort von Diebstahl, Sabotage, Industriespionage und argloser Inkompetenz – bieten reichlich Angriffsfläche für neuartige Cyber-Attacken gegen IoT-Endgeräte, ob in der eigenen (semi-)autonomen Logistik oder in der Betriebstechnik der eigenen Zulieferer.

RDDoS auf dem Vormarsch

Unter Beschuss: DDoS-Attacken nehmen in der Weihnachtssaison an Intensität zu.
(Bild: Digital Attack Map)

Laut dem Überwachungsdienst Digital Attack Map spitzen sich DDoS-Angriffe gerade in der Vorweihnachtszeit (genau genommen seit Anfang November 2020) gemessen an der Bandbreite wieder zu. Forscher von Cloudflare bestätigen den Trend in ihrem neuesten Bericht vom November 2020: DDoS-Angriffe nehmen demnach sowohl in der Häufigkeit als auch in der Komplexität zu. Neue Angriffsvektoren – mDNS, Memcached, Jenkins – kommen zu den „Klassikern“ – SYN, RST und UDP – hinzu.

Diese neuartigen DDoS-Angriffe gehen immer öfter mit Ransomware-Forderungen einher, Stichwort: RDDoS (R steht hierbei für Ransomware).

RDDoS-Attacken sind anscheinend für die fallende Bandbreite eines durchschnittlichen DDoS-Vorfalls verantwortlich: Kaum bekommen die betroffenen Organisationen einen Vorgeschmack einer Attacke, blättern sie das Geld sofort auf den Tisch und halten bereitwillig den Mund aus Angst vor einem Vergeltungsschlag der Täter.

Es ist schlimm genug, wenn die Täter Zero-Day-Exploits ausnutzen, um in die Unternehmens-IT einzudringen: dort schlummern wertvolle Daten. Doch es ist noch um Einiges schlimmer, wenn sie IoT-Endpunkte cyberphysischer Systeme der Industrie 4.0 sabotieren. In Fabrikhallen, wo Mensch und Maschine Hand in Hand arbeiten, entstehen neuartige Gefahren nicht „nur“ für die unmittelbare Betriebskontinuität, sondern vor allem für die physische Sicherheit der Belegschaft, wenn Roboter amok laufen oder Gebäudesteuerungssysteme versagen.

Durch das großflächige Aufkommen drahtloser M2M-Konnektivität (Machine-to-Maschine) über 5G-Mobilfunkneteze dürften sich die Risiken noch weiter verschärfen, warnen Forscher vom Analystenhaus Research und Markets. „Der DDoS-Schutz wird wahrscheinlich zur wichtigsten Komponente der 5G-Sicherheit“, schreiben sie in einem aktuellen Bericht.

Sean Newman, VP Product Management bei Corero, schlägt in dieselbe Kerbe und fügt auch noch hinzu: „Die erhöhte Bandbreite von 5G-Netzwerken bedeutet, dass künftige Botnets möglicherweise gar nicht so viele mobile bzw. IoT-Geräte in Beschlag nehmen müssen, um ihre Ziele zu lähmen.“

Wie können die Täter die Rechenzeit von IoT-Endgeräten und deren 5G-Konnektivität für ihre DDoS-Machenschaften missbrauchen, ohne sich in Unkosten zu stützen? Eine berechtigte Frage. Die Antwort lautet: Zombie-Botnets.

Zombie-Botnets und die Verwundbarkeiten der Zulieferer

Wertschöpfungsketten sind organisationsübergreifend verwundbar. In Supply-Chain-Attacken nehmen sich die Angreifer nicht direkt die IT-Systeme des betroffenen Unternehmens zum Ziel, sondern vielmehr seine Lieferanten, die vermeintlich leichte(re) Beute. Cyber-Täter versuchen dabei, bösartigen Code in Technologieprodukte wie beispielsweise eine signierte und zertifizierte – und damit vermeintlich vertrauenswürdige – Anwendung, die auf IoT-Endpunkten relativ ungeschützt läuft. So können sie in vielen Fällen unbemerkt in die Infrastruktur des Opfers eindringen und im nächsten Schritt dessen eigene Produkte und deren Nutzer verseuchen.

Ein vermeintlich legitimes Software-Update eines vertrauenswürdigen Herstellers genügt, um in die Unternehmens-IT der Nutzer einzudringen. Eben dieses Szenario hat sich im Jahre 2019 auf rund 57.000 Computern im Zusammenhang mit Bauteilen der Marke Asus abgespielt.

Mit der Installation einer Aktualisierungssoftware des taiwanesischen PC-Herstellers ASUSTek Computer Inc. holten sich die Betroffenen eine „sehr fortgeschrittene“ Backdoor ins Haus, warnte der Sicherheitsspezialist Kaspersky Lab. Diese Backdoor, getauft auf den Codenamen Operation ShadowHammer, hätten die Täter direkt von den Asus-Servern über das ASUS Live Update Utility ganz offiziell vertrieben. Die Downloads hatten eine korrekte Signatur und so konnten sie ihren bösartigen Code unbemerkt auf die betreffende Hardware einschleusen. Der bösartige Code ziele auf ganz bestimmte Endgeräte ab und könne diese anhand ihrer MAC-Adressen identifizieren, fand Kaspersky Lab heraus. Deutschland sei das zweitgrößte Ziel weltweit.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Durch die Kontaminierung von Update-Servern oder Entwicklungstools, das Einfügen von Code in Firewall-Appliances und ausführbare Dateien oder das einfache Ersetzen von echten durch gefälschte Softwarepakete erreichen bösartige Akteure ihre avisierten Opfer weiter entlang der Wertschöpfungskette. Von dort aus können sie Kommunikationsverbindungen mitschneiden und/oder DDoS-Attacken initiieren. So entstehen die gefürchteten Botnets eines DDoS-Schwarms von Zombie-Geräten.

Datendiebstahl und DDoS-Sabotage

Bei der Supply-Chain-Attacke gegen Asus-Kunden handelte es sich keinesfalls um einen vereinzelten Vorfall. Vor rund vier Jahren musste auch schon Juniper Networks die Existenz einer Backdoor in dem Zufallszahlengenerator Dual_EC_DRBG seiner NetScreen-Firewalls zugestehen. Nach dem Bekanntwerden der Verwundbarkeit hat das Unternehmen seine Appliances fein säuberlich „abgedichtet“ und lobte für die Zukunft Besserung.

Das Problem beschränkt sich bei Weitem nicht auf B2B-Geschäfte und kann vielmehr auch Endkunden in seinen Bann reißen.

In der Spielindustrie sind die Wunden noch roh. Einige Entwicklungsschmieden fielen in den vergangenen Monaten den Cyber-Machenschaften der gefürchteten Winnti Group zum Opfer. Die Gruppe habe interne Sicherheitsvorkehrungen mehrerer führender Hersteller von Computerspielen unterwandern können und ihren Malware-Packer mit der Backdoor PortReuse entlang der Wertschöpfungsketten ihrer Opfer übertragen können. Betroffen seien „Zehntausende oder Hunderttausende“ von Endbenutzern, so die Forscher. Das Hauptziel der Gruppe sei Spionage; nebenbei sahnten die Täter auch mittels Crypto-Mining ab.

Die betroffenen Unternehmen einer Supply-Chain-Attacke stehen von einer Mammut-Aufgabe: „Das Durchforsten einer großen Codebasis nach einem winzigen, gut verschleierten Schnipsel ist wie das Suchen nach einer Nadel im Heuhaufen“, kommentierte Marc-Étienne Léveillé, ein Forscher des europäischen Cybersicherheitsdienstleisters ESET.

Einfallstor Lieferkette

Nicht nur klassische IT-Systeme eines Unternehmens, sondern neuerdings auch die IoT-Endpunkte seiner Versorgungskette lassen sich aus dem Cyberspace heraus manipulieren. Im Rahmen von Supply-Chain-Attacken werden IoT-Endgeräte auch als Träger von Malware zunehmend missbraucht.

Supply-Chain-Attacken wie der Stuxnet-Wurm und ATM-Malware sind klar auf dem Vormarsch.

Das Aufkommen von Cyberattacken gegen IoT-Endgeräte beschleunigt sich exponentiell, warnen u.a. Sicherheitsforscher von F-Secure Consulting, in Deutschland vertreten durch die F-Secure GmbH aus München.

Messungen des weltweiten Datenverkehrs durch globales Netzwerk von Honeypots („Honig-Fallen“) der F-Secure-Unternehmensgruppe sollen einen zwölffachen Anstieg zwischen Januar und Juni des vergangenen Jahres gegenüber dem Vorjahreszeitraum nachgewiesen haben. Die Mehrheit dieser Vorfälle würde demnach auf Verwundbarkeiten in IoT-Geräten abzielen. Deutschland tauchte als eine der vier größten Quellen dieser Attacken auf (neben China, den Vereinigten Staaten und Russland).

Nicht einmal quelloffene Software ist eingeschleusten Code vollständig immun. Ganz im Gegenteil: Cyber-Täter machen sich Open-Source-Bibliotheken und -Repositories überaus gerne zunutze. Sie verschleiern ihre Payloads u.a. mit Hilfe diverser skurriler Dateiformate. Die meisten Softwareschmieden sind mit dem Paket-Management ihrer Dependencies offenbar ziemlich überfordert.

Im November 2019 fiel die offizielle Website der Kryptowährung Monero einer Supply-Chain-Attacke zum Opfer. Ein Angreifer plante, Gelder aus den Wallets der Gemeindemitglieder abzuzweigen. Hierzu hatte er legitime Linux- und Windows-Binärdateien, die zum Download zur Verfügung standen, heimlich durch bösartige Versionen ersetzt, jedoch offenbar vergessen, die Hashes anzupassen. Einem hellwachen Monero-Benutzer ist die Diskrepanz dann doch aufgefallen. Er hat den Hack gemeldet und konnte so das Ausrauben der Gemeinde vereiteln.

Auf der Suche nach dem Sündenbock

Die aktuelle Welle von Cyber-Attacken zielt zunehmend auf die vernetzte Natur digitalisierter Lieferketten ab, bestätigen u.a. die Analysten von PwC unter Berufung auf einen Bericht des Ponemon Institute.

Das Phänomen beschränkt sich bei Weitem nicht auf die Softwareindustrie. Es betrifft vielmehr alle Branchen, kreuz und quer durch das gesamte Gewebe der digitalisierten Wirtschaft.

Bereits vor beinahe drei Jahren (2018) habe jedes zweite Unternehmen (56 Prozent) einen Cybersicherheitsvorfall erlebt, den anscheinend seine Lieferanten – sei es jene von Technologielösungen oder von Rohstoffen – verursacht hätten.

Im Falle der spektakulären Datenpanne bei British Airways, bei der die Zahlungsdaten von rund einer halben Million Kunden bloßgestellt wurden, hatte anscheinend die Webshop-Erweiterung eines „vertrauenswürdigen“ Drittanbieters bösartigen Code eingeschleust. Die zuständige Datenschutzbehörde hat den Vorfall unter Berufung auf die DSGVO mit einer rekordverdächtigten Strafe in Höhe von 183 Millionen GBP sanktioniert. (Zum Vergleich: Diese Summe entspricht rund dem 367-Fachen derjenigen Buße, die Facebook für den Skandal Cambridge Analytica bezahlen musste).

Auf Technologielieferanten als Sündenbock zu verweisen scheint hinreichend nachvollziehbar und naheliegend. Die Betroffenen haben im Falle von einer Supply-Chain-Attacke jeden Grund, die Verantwortung von sich zu weisen. Mit diesem Ansatz erlangen sie jedoch nicht automatisch mehr Kontrolle über ihre Versorgungskette und deren interne Abläufe. Das ist ein Rezept für eine Cyber-Katastrophe. Inzwischen verfeinern die Cyber-Täter weiter ihre Techniken.

Wie eine Seuche

Fallende Preise fortgeschrittener Sensorik haben ein massives Rollout IoT-fähiger Endgeräte zur Steuerung von Warenflüssen in der Logistik und Fertigung nach sich gezogen. Das komplexe Gewebe der zunehmend eng verzahnten Wirtschaft zeigt sich gerade an ihren IoT-Endpunkten extrem verwundbar.

Bei dem Phänomen handelt es sich keinesfalls um isolierte Vorfälle vereinzelt gehackter cyberphysischer Systeme. Die Täter lancieren vielmehr methodisch orchestrierte Offensiven gegen ganze Wertschöpfungsketten. Diese Erkenntnis geht aus einem Bericht zur aktuellen Bedrohungslage von Carbon Black hervor, einer Tochter von VMware.

In rund 50% der Cyber-Attacken gegen Lieferketten seien die Täter nicht bloß danach aus, einem bestimmten Unternehmen vereinzelt Schaden zuzufügen. Die Angreifer praktizierten vielmehr sogenanntes „Inselhüpfen“ (Engl. island hopping): Sie arbeiten sich unbemerkt durch die Lieferkette von einem Unternehmen zum nächsten durch bis sie das avisierte Opfer – das Unternehmen mit dem besten Finanzpolster – erreicht haben.

Cybersicherheitsattacken gegen IoT-isierte Lieferketten sind in der Corona-Krise weiterhin stark im Kommen. Nach einer Sommerpause im vergangenen Jahr spitzten sich die Angriffe dieses Jahr wieder zu und lassen nicht nach, warnt Sicherheitsspezialist Symantec. Die Cybersicherheitssparte von Symantec gehört seit Januar dem Beratungshaus Accenture.

Die überwiegende Mehrheit der Cyber-Vorfälle gegen Lieferketten machte sich diese IoT-Endgeräte ursprünglich im Rahmen von Botnets für DDoS-Attacken zunutze. Inzwischen zeichnet sich ein weitaus differenzierteres Bild der Bedrohungslage ab. Angreifer sollen mittlerweile dazu übergegangen sein, persistente Backdoors zu installieren, warnte der Cybersicherheitsspezialist Symantec in dem Sicherheitsbericht ISTR 24. So behalten sich die Angreifer die Möglichkeiten vor, das Verhalten von IoT-Geräten auf Wunsch zu manipulieren, während sie bis dahin „unter dem Radar“ fliegen.

Fazit

Unternehmen sind in einer prekären Lage. Aus der digitalisierten Wirtschaft gibt ja bisher kein „Opt-Out“. Den Kopf in den Sand stecken zieht nicht und das massive Aufkommen drahtloser Konnektivität durch den Ausbau von industriellem 5G macht es sicherlich auch nicht einfacher.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).