26. Oktober 2016

    Neues Problem im Herbst 2016:

    Millionen von gekaperten IoT-Geräten werden als Angriffsarmee genutzt

     

    Zig Millionen von unsicheren Videokameras und anderen Geräten im Internet werden für Denial of Service Angriffe (DDoS) genutzt, die ungewöhnlich hohe Bandbreiten erzeugen. Am 21. Okt. 2016 wurden große Teile der US-Infrastruktur durch einen Angriff gegen die Firma Dyn DNS lahm gelegt, betroffen sind z.B. Amazon, Spotify, Twitter, Paypal und viele andere.

     

    Eine Auflistung betroffener Geräte können Sie dem Artikel hier entnehmen!

    Wer die Hersteller des IoT-DDOS-Botnets sind

     

    Das schlimme daran scheint zu sein, dass diese Geräte mit einem Standard-Benutzername mit öffentlich bekanntem Passwort im Netz erreichbar sind.

     

    Die Malware nutzt laut Malwaretech einen Fehler in Busybox aus, und versucht dann, alle Prozesse auf den Ports 22, 23 und 80 zu blockieren, um dem eigentlichen Eigentümer des Gerätes den Zugriff zu verweigern. Dann wird der eigentliche Angriff per Syn-Flood und mit HTTP-Get-Requests gestartet.

     

     

    Mit Hilfe dieser Botnets aus IoT-Geräten wird ein massiver und erfolgreicher Angriff auf weite Teile der US-Internet-Infrastruktur gefahren.

    Mehr Details gibt es bei der NY Times: Hackers Used New Weapons to Disrupt Major Websites Across U.S.. Dort wird spekuliert, dass die Angreifer evtl. einen Probelauf für den Wahltag gemacht haben, bei dem in den USA in einige Bundesstaaten online gewählt werden kann.

     

     

    Aktuell auch Angriff auf unsere Infrastruktur:

     

    Wir möchten Sie heute auf einen aktuellen Fall aufmerksam machen und bitten Sie das aktuell auch auf Ihren Securityprodukten zu prüfen.

     

    Eine C&C Angriffswelle wurde heute Nacht an viele Unternehmen, auch viele Kunden von uns gefahren u.a. betraf dieser Angriffsversuch auch unsere Infrastrukturen.

     

     

     

    Zu sehen war folgender Traffic bzw. Angriffsversuche durch C&C Server aus dem Raum Moskau:

     

     

     

    Auszug aus einem Log:

     

     

     

    2016:10:27-03:41:47 xxxxx afcd[21066]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="195.62.53.168" dstip="xx.xxx.x.xxx" fwrule="63001" proto="6" threatname="C2/Generic-A" status="1" host="lock.bz" url="" action="drop"

     

     

    Sind das Vorboten auf einen massiven geplanten Angriff in der Zukunft?

    Meine persönliche Vermutung hierzu: Dieser C&C Angriffsversuch ist eine Bereicherung der IoT Geräte.

    Steht die Bereicherung eventuell mit der Wahl des amerikansiche Präsidenten in Verbindung?

     

    Der BSI empfiehlt aktuell zum Thema IoT folgendes in einem PDF Dokument:

    Sicherheit von IP-basierten Überwachungskameras v1.0

    Download
    IoT - Sicherheit von IP-basierten Überwachungskameras v1.0
    Netzwerkfähige Überwachungs- oder Webkameras sind – wie auch viele andere Ausprägungen von Geräten im Kontext des Internet der Dinge (Internet of Things, IoT) – ein potenzielles Sicherheitsrisiko.
    BSI-CS_128.pdf
    Adobe Acrobat Dokument 213.3 KB
    Download