Die Sicherheitsforscher des Microsoft Threat Intelligence Centers entdeckten im April dieses Jahres, dass Russlands staatliche Hackergruppen wieder zu Gange waren. Dieses Mal hatten sie IoT-Geräte im Visier, um in Unternehmensnetzwerke einzubrechen.
Mittlerweile gibt es weltweit mehr aktive IoT-Geräte als Computer und Mobilgeräte. Und die allermeisten davon sind sicherheitstechnisch immer noch schlecht gewartet und angreifbar. Auch nach den besorgniserregenden Angriffen 2016 durch das Mirai Botnet, das IP-Kameras und Heimrouter nutzte, änderte sich nicht viel daran. 2018 wurden Hunderttausende kleinere Netzwerk- und Speichergeräte mit der sogenannter VPN-Filter Malware infiziert. Nach den Olympischen Spielen im selben Jahr wurde bekannt, dass es dort ebenfalls Angriffe auf einige Geräte gegeben hatte. Eintrittskarten konnten nicht gedruckt werden und das Hauptpressezentrum wurde vom Internet abgeschnitten.
Microsoft führt die Angriffe auf die STRONTIUM Gruppe, auch bekannt als APT28 oder Fancy Bear, zurück und zählte in einem Jahr annähernd 1.400 ihrer Angriffe. Ziele waren Nichtregierungsorganisationen, Think Tanks oder politisch verbundene Organisationen weltweit und hauptsächlich in wichtigeren Bereichen wie Regierungsstellen, IT, Militär, Verteidigung, Medizin, Bildung und Technik. Neben Strontium gibt es auch andere staatliche Hackergruppen, die sich auf IoT-Geräte, vor allem aber auf Router konzentrieren. Hierzu gehören Hackertruppen wie LuckyMouse, Inception Framework und Slingshot.
Hackergruppe STRONTIUM nutz IoT als Sprungbrett ins Unternehmen
Die STRONTIUM-Hacker nutzten bei ihren diesjährigen Angriffen drei häufig eingesetzte IoT-Geräte mit bekannt schwachen Sicherheitsmerkmalen aus. Sie konnten darüber auf Netzwerke mehrerer Microsoft-Kunden zugreifen. Es handelte sich um simple Bürodrucker, Videodecoder und einem VOIP-Telefon. Die Passwörter zweier Geräte waren leicht zu erraten gewesen – beides werkseitig voreingestellte Passwörter. Das dritte Gerät hatte eine alte Firmware-Version mit einer bekannten Schwachstelle. Alle hätten mit mehreren externen Geräten kommuniziert, wurde festgestellt. Von dort aus nisteten sich die Hacker tiefer im Netzwerk ein und scannten nach weiteren Zugängen zu anderen unsicheren Geräten.
Sie nutzten auch ihr Wissen über Netzwerkbewegungen aus, um höher privilegierten Konten aufzuspüren. Dazu führten sie auf den übernommenen IoT-Geräten tcpdump aus, um den Netzwerkverkehr auf lokalen Unter-Netzwerken zu analysieren. Gleichzeitig versuchten sie damit auch eine Liste der Verwaltungsgruppen zu erhalten. So hangelten sie sich durch das ganze Unternehmensnetz und legten immer wieder ein einfaches Shell-Skript ab. Eine spätere Analyse der Forscher ergab, dass alle übernommenen Geräte auch mit einem externen Command & Control-Server kommunizierten. Microsoft sagte, dass seine Forscher diese Angriffe bereits in einer frühen Phase identifizieren und blockieren konnte. Dadurch waren sie allerdings nicht in der Lage festzustellen, auf was die Strontium-Hacker im Netzwerk eigentlich abzielten.
Schätzung sprechen von rund 50 Milliarden IoT-Geräte, die bis 2020 rund weltweit verwendet werden. Das Internet der Dinge ist eine wirklich praktische Sache: Es ist für Netzwerkkonnektivität konzipiert und lässt sich einfach und unbeaufsichtigt betreiben. Allerdings wird das alles unübersichtlich, wenn es – besonders in Unternehmen – nicht identifiziert, nicht aktualisiert und nicht Auge behalten wird. Manche dieser Geräte können sogar grundlegende Telemetrie-Informationen an den Gerätehersteller zurücksenden oder automatische herstellerseitige Software-Updates empfangen. In den meisten Fällen, so sagen Sicherheitsexperten, weiß das IT-Team in Unternehmen gar nicht, dass sie vorhanden und über das interne Netzwerk mit dem Internet verbunden sind.
Es ist auch hinlänglich bekannt, dass viele der Hersteller gar keine Patches oder Updates veröffentlichen. Das amerikanische National Institute of Standards and Technology warnte dieses Jahr hierüber in einem Forschungspapier. Das Institut ist besonders beunruhigt, dass immer mehr Regierungsbehörden solche internetfähigen Geräte in den täglichen Betriebsablauf integrieren. Auch die Sicherheitsforscher von Microsoft warnen, dass IoT-Angriffe in den nächsten Jahren deutlich zunehmen werden.
12 Wichtige Sicherheitsmaßnahmen bei IoT-Geräten
Microsoft veröffentlichte 12 wichtige Maßnahmen zur Sicherung und Verwaltung von IoT-Geräten und IT-Infrastrukturen:
- Die Genehmigung und Katalogisierung aller IoT-Geräte muss in einer Unternehmensumgebung erfolgen.
- Entwicklung einer benutzerdefinierten Sicherheitsrichtlinie für jedes IoT-Gerät (Gerätegruppe).
- Es sollte vermieden werden, dass IoT-Geräte direkt dem Internet verbunden sind und benutzerdefinierte Zugangskontrollen sind zu erstellen, um die Risiken zu begrenzen.
- Für IoT-Geräte sollte, wenn möglich, ein separates Netzwerk verwendet werden.
- Routinemäßige Konfigurations- und Patch-Audits für die verwendeten IoT-Geräte sollten regelmäßig erfolgen.
- Richtlinien für die Isolierung von IoT-Geräten, die Aufbewahrung von Gerätedaten müssen definiert werden. Zudem wird es empfohlen, Protokolle des Geräteverkehrs zu speichern und Abbilder der Speicher für forensische Untersuchungen zu erfassen.
- Schwachstellen bei der Konfiguration von IoT-Geräten oder IoT-basierten Einbruchsszenarien sollten als Teil des Red Team-Tests eingebunden werden.
- Die IoT-Geräte sollten auf ungewöhnliche Aktivitäten überwacht werden.
- Alle Identitäten und Anmeldeinformationen, die autorisierten Zugriff auf IoT-Geräte, Benutzer und Prozesse haben, sollten überprüft werden.
- Das Asset-, Konfigurations- und Patch-Management sollte möglichst zentralisiert werden.
- Wenn IoT-Geräte von einem Drittanbieter bereitgestellt bzw. verwaltet werden, sollten die Verträge explizite Bedingungen enthalten, bezüglich einzuhaltender Sicherheitspraktiken und Audits, die den Sicherheitsstatus und den Zustand aller verwalteten Geräte melden.
- Wenn möglich sollten SLA-Bedingungen in IoT-Gerätelieferverträgen aufgenommen werden. Solche, die ein für beide Seiten akzeptables Zeitfenster für investigative Aktivitäten und forensische Analysen bei Datenpannen festlegen.
Artikel von microsoft.com, 05.08.2019: Corporate IoT – a path to intrusion
Artikel von cyberscoop.com, 05.08.2019: Russian government hackers used office technology to try to breach privileged accounts
Artikel von zdnet.com, 05.08.2019: Microsoft: Russian state hackers are using IoT devices to breach enterprise networks
Artikel von arstechnica.com, 05.08.2019: Microsoft catches Russian state hackers using IoT devices to breach networks