Cyber-Angriffe über IoT-Botnetze Wenn das Internet der Dinge zur Waffe wird

Von Christian Syrbe *

Immer mehr „Dinge“ werden vernetzt, von der Werkzeugmaschine bis zum Heizungsthermostat. Das nutzen Cyber-Kriminelle aus. Sie binden gehackte Systeme in IoT-Botnets ein und starten damit groß angelegte Distributed-Denial-of-Service-Angriffe. Doch mit den „richtigen“ IT-Sicherheitslösungen lassen sich solche Attacken abwehren.

Anbieter zum Thema

Die Zahl der IoT-Systeme steigt rasant an. Das erhöht jedoch auch die Gefahr, dass Cyber-Kriminelle IoT-Botnets aufbauen und damit groß angelegte DDoS-Angriffe durchführen.
Die Zahl der IoT-Systeme steigt rasant an. Das erhöht jedoch auch die Gefahr, dass Cyber-Kriminelle IoT-Botnets aufbauen und damit groß angelegte DDoS-Angriffe durchführen.
(Bild: gemeinfrei / Pixabay )

Die Zahl der IoT-Endgeräte (Internet of Things) wächst rasant. Nach Angaben des Hamburger Marktforschungsinstituts IoT-Analytics sind derzeit weltweit rund zwölf Milliarden „vernetzte Dinge“ im Einsatz. Bis 2025 wird deren Zahl auf 27 Milliarden steigen. Die Marktanalysten bei Gartner gehen bis Ende 2025 sogar von knapp 31 Milliarden IoT-Geräten aus.

Der Grund ist, dass sich IoT-Komponenten in vielen Bereichen einsetzen lassen. Beispiele sind Systeme für die Heimvernetzung und die Gebäudeautomatisierung, Videoüberwachungskameras und Smart Meter, die den Stromverbrauch erfassen. Hinzu kommen Internet-Router und WLAN-Access-Points sowie IoT-Komponenten in der Industrie, dem Handel und im Logistiksektor.

Diese Systeme kommunizieren mit Servern in Rechenzentren und mit Edge-Computing-Systemen. Das erfolgt häufig über Funkverbindungen, etwa Wireless LANs, Mobilfunk und Low-Power Wide Area Networks (LPWAN). Doch leider haben auch Cyber-Kriminelle das Internet der Dinge für ihre Zwecke entdeckt. Sie nutzen beispielsweise unzureichend geschützte IoT-Komponenten und Netzwerkverbindungen, um sich darüber in ein Unternehmensnetz „vorzuarbeiten“. Dafür bieten sich beispielsweise WLAN-Access-Points und IP-Kameras an, deren Firmware Sicherheitslücken aufweist oder die mit schwachen Passwörtern geschützt sind.

Im Unternehmensnetzwerk können Angreifer Daten entwenden oder mit einer Ransomware verschlüsseln. Erst nach Zahlung eines Lösegelds erhalten die Anwender einen Entschlüsselungscode. Laut dem Netscout Threat Report 1H 2021 haben sich Ransomware-Attacken zu einer globalen Bedrohung für Unternehmen und öffentliche Einrichtungen entwickelt. Das belegt folgende Zahl: Allein im ersten Halbjahr 2021 hat eine einzelne Gruppe von Cyber-Kriminellen mit Ransomware Lösegelder in Höhe von 100 Millionen Dollar eingetrieben.

IoT-Systeme als Teil einer Bot-Armee

Noch gefährlicher ist jedoch eine zweite Angriffsvariante: Kriminelle hacken IoT-Systeme und installieren darauf heimlich eine Software. Mit dieser können sie die Komponenten zentral über einen Command-and-Control-Server (CNC) steuern. Auf diese Weise ist es möglich, eine „Armee“ von ferngesteuerten Bots aufzubauen - ein IoT-Botnet. Cyber-Kriminelle setzen solche Netzwerke vor allem dazu ein, um Distributed-Denial-of-Service-Angriffe (DDoS) durchzuführen. Laut dem Netscout Threat Intelligence Report waren Bot-Netze ersten Halbjahr 2021 an mehr als 2,8 Millionen DDoS-Attacken beteiligt. Das entspricht mehr als der Hälfte aller DDoS-Angriffe in diesem Zeitraum.

Zu den bekanntesten IoT-Botnets zählen Gafygt und Mirai. Ein IoT-Botnet kann mehrere 100.000 Systeme umfassen. Mirai erreichte bereits einmal eine maximale Zahl von mehr als 600.000 Bots. Selbst wenn jedes Bot nur mit einer Datenrate von einem Megabit pro Sekunde Daten übermittelt, ergibt das bei 600.000 Systemen eine Bandbreite von 600 Gigabit pro Sekunde. Ein DDoS-Angriff dieser Größenordnung kann die Netzwerkinfrastruktur von größeren Unternehmen oder Serviceprovidern empfindlich beeinträchtigen. Dann stehen Netzwerkservices und Online-Angebote nicht mehr zur Verfügung.

DDoS-Angriffe mit Verstärkungseffekt

Um eine möglichst hohe Wirkung zu erzielen, setzen Cyber-Kriminelle bei DDoS-Angriffen mit IoT-Botnets häufig auf sogenannte „Reflection/Amplification“-Attacken. In diesem Fall verwendet ein Cyberkrimineller die IP-Adresse eines Servers eines Unternehmens oder einer Organisation, um vermeintlich von diesem aus Anfragen an andere Systeme zu versenden. Das heißt, der Angreifer „spooft“ die Adressendaten des Servers. Wenn die Rechner, die solche gefälschten Anfragen erhalten, zeitgleich darauf antworten, überlastet das die Systeme des Opfers und macht sie schlimmstenfalls unzugänglich. Dieser Effekt tritt insbesondere dann auf, wenn Angreifer ein IoT-Botnet mit vielen Endgeräten verwenden.

Eine weitere DDoS-Angriffstechnik, bei der IoT-Botnets eine zentrale Rolle spielen, sind „State-Exhaustion-Attacken“ wie TCP Syn Flood. Sie zielen auf Hosts, Firewalls und Load-Balancing-Systeme. Das Dreifach-Handshake-Verfahren TCP Syn dient eigentlich dazu, eine Verbindung zwischen Netzwerkssystemen aufzubauen. Bei Angriffen senden IoT-Bots über gespoofte Internet-Adressen „TCP-SYN“-Datenpakete an einen Host. Der Zielserver speichert die Daten dieser Verbindungsanfragen und wartet auf eine weitere (dritte) Bestätigung durch die anfragenden Clients. Doch bei einem TCP-Syn-Flood-Angriff senden diese Systeme kein „O. K.“ in Form eines ACK-Pakets (Acknowledgment). Daher muss der Host immer mehr Anfragedaten speichern. Das kann er nur bis zu einem gewissen Grad. Das Ergebnis: Zu einem bestimmten Zeitpunkt sind diese Systeme nicht mehr aktionsfähig.

DDoS in Kombination mit weiteren Angriffsformen

Voraussichtliche Zahl der eingesetztem IoT-Geräte bis zum Jahr 2025.
Voraussichtliche Zahl der eingesetztem IoT-Geräte bis zum Jahr 2025.
(Bild: IoT Analytics)

Ein neuer Trend im Bereich Cyber-Kriminalität ist, mehrere Angriffsformen parallel einzusetzen. Bei „Double-Extortion“-Angriffen kommen beispielsweise DDoS-Attacken und eine Ransomware zum Einsatz. Wenn sich ein Unternehmen beispielsweise weigert, für die Entschlüsselung von Daten zu zahlen, die durch einen Verschlüsselungstrojaner unzugänglich wurden, folgt ein DDoS-Angriff. Dieser blockiert Web-Services, Online-Marktplätze und den Zugriff auf Cloud-Services. Auf diese Weise erhöhen die Angreifer den Druck auf das Opfer, damit dieses ihren Forderungen nachgibt.

Noch aggressiver ist eine weitere Variante, eine Triple-Extortion-Attacke. Neben dem DDoS-Angriff mithilfe von IoT-Bots und dem Einsatz einer Ransomware kommt ein drittes Druckmittel zum Einsatz: die Drohung, zuvor entwendete Geschäftsinformationen des Zielunternehmens zu veröffentlichen oder an Dritte zu verkaufen. Für die meisten IT-Abteilungen von Unternehmen und öffentlichen Einrichtungen ist es kaum machbar, solche kombinierten Angriffe zu stoppen, zumindest nicht ohne Hilfe von externen IT-Security-Spezialisten.

Was Unternehmen gegen IoT-Botnets tun können

Eine Maßnahme gegen das „Kapern“ von IoT-Systemen besteht darin, Sicherheitslücken in der Systemsoftware solcher Komponenten zeitnah zu schließen - sprich Patches zu implementieren. Außerdem ist es notwendig, regelmäßig die Sicherheit und Qualität der Verbindungen regelmäßig zu prüfen, über die IoT-Systeme kommunizieren.

Besonders wichtig ist es, sich vor einem DDoS-Angriff zu schützen. Dafür stehen mehrere Optionen zur Verfügung. Im eigenen Rechenzentrum und in Niederlassungen können Unternehmen und Organisationen Lösungen installieren, die eine erste „Verteidigungslinie“ gegen DDoS-Angriffe, einschließlich solcher mit IoT-Botnets, bilden.

Hilfe aus der Cloud

Bei groß angelegten DDoS-Attacken, bei denen Hunderttausende von IoT-Bots zum Einsatz kommen, sind jedoch weitergehende Maßnahmen erforderlich. Sie erfordern den Einsatz von hoch skalierbaren, cloudgestützten DDoS-Abwehrservices in Kombination mit Appliances im Unternehmens-Datacenter. Die Systeme vor Ort führen zusammen mit Netzwerksystemen wie Routern eine erste Schadensbegrenzung durch. Sie blockieren „bösartige“ Verbindungsanfragen und stellen sicher, dass Anwendungen und Netzwerkservices weiterhin zur Verfügung stehen.

Nur den Datenverkehr, den diese Systeme nicht bewältigen können, leiten sie zu einem Anti-DDoS-Clouddienst weiter. Solche gemanagten Services sind in der Lage, auch „Großangriffe“ mit Datenraten von 400 Gigabit pro Sekunde und mehr abzuwehren. Wichtig bei solchen Diensten ist, dass sie frühzeitig erste Anzeichen einer DDoS-Attacke mittels IoT-Bots erkennen. Dazu ist es erforderlich, Analyse- und Telemetriefunktionen mit Informationen über Cyber-Bedrohungen zu kombinieren. Dadurch ist es möglich, proaktiv infizierte IoT-Systeme und IoT-Botnets zu erkennen und Gegenmaßnahmen einzuleiten.

Fazit

Die Verfügbarkeit von Netzwerken und IT-Services sicherzustellen, ist angesichts der steigenden Zahl und Intensität von DDoS-Angriffen mit IoT-Bot-Netzen eine anspruchsvolle Aufgabe. Unternehmen und öffentliche Einrichtungen sind daher gut beraten, schnellstmöglich eine wirkungsvolle Verteidigung aufzubauen. Dafür eignen sich cloudbasierte Security-Services in Verbindung mit Appliances im Unternehmensnetz. Sie stellen sicher, dass IoT-Bots keine Chance haben, die digitalen Angebote und IT-Services von Anwendern lahmzulegen. //sg

* * Christian Syrbe ist Chief Solutions Architect bei Netscout

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47903616)