Erstmals gezielte Spionage-Angriffe über "intelligente Dinge" dokumentiert
Die Hacker, die in den Bundestag einbrachen, haben eine neue Angriffstechnik im Repertoire: Sie steigen über Drucker oder VoIP-Phones in Firmennetze ein.
(Bild: metamorworks / shutterstock.com)
Spätestens seit ein paar Jüngelchen für das Botnetz Mirai mal eben schnell hunderttausende IoT-Geräte kaperten, wusste man, dass es da ein riesiges Sicherheitsproblem gibt. Experten warnen deshalb seit Jahren, dass auch Firmen ihre IT in dieser Hinsicht besser absichern müssten. Jetzt wird das akut.
Unsichere Geräte finden sich in vielen Firmennetzen. Sei es, weil niemand auf einem funktionierenden Drucker Updates einspielt oder weil die Geräte noch unbekannte, aber trivial aufzuspürende Zero-Day-Lücken aufweisen. Es war nur eine Frage der Zeit, bis Profi-Hacker solche Lücken ausnutzen, um gezielt in Firmennetze einzusteigen. Und diese Zeit ist offenbar gekommen.
IoT als Einfallstor
Microsofts Security Team beobachtete bereits im April, dass von Systemen unter Kontrolle der APT-Gruppe Sofacy Angriffe auf drei weit verbreitete IoT-Devices ausgingen: ein VoIP-Phone, einen Office-Drucker und ein Video-Abspielgerät. Die Geräte wiesen zum Teil noch Default-Passwörter des Herstellers auf, zum Teil waren kritische Sicherheits-Updates nicht eingespielt worden. Um welche Geräte es sich dabei konkret handelt, erklärt der Blog-Beitrag des MSRC leider nicht.
(Bild: Airbus )
Weitere Nachforschungen ergaben, dass diese Angriffe dazu dienten, sich Zugang zu Firmennetzen zu verschaffen, um sich dort festzusetzen und danach weiter auszubreiten. Für diesen Schritt – also die initiale Infektion eines Systems im Zielnetz – setzen APT-Gruppen sonst typischerweise etwa Spear Phishing ein.
Die Akteure sind keine Unbekannten; Micosoft schreibt die Aktivitäten einer Gruppe zu, die sie selbst als Strontium bezeichnen. Bekannter sind die aber unter den Namen Sofacy, APT28 und Fancy Bear. Dieser APT-Gruppe werden unter anderem die Einbrüche im Bundestag, dem Auswärtigen Amt und die Manipulationen der letzten US-Wahlen zugeschrieben.
Profi-Hacker aus Russland?
Allgemein richten sich die Angriffe von Sofacy vor allem gegen Firmen und Organisationen aus dem Umfeld von Regierungen, Militär und IT.
Nahezu alle Analysten sind sich einig, dass Sofacy seine Wurzeln im russischsprachigen Raum hat; US-Behörden wie das FBI und mehrere Security-Firmen siedeln sie direkt im Umfeld des russischen Geheimdienstes GRU an. (ju)
