Menü

Erstmals gezielte Spionage-Angriffe über "intelligente Dinge" dokumentiert

Die Hacker, die in den Bundestag einbrachen, haben eine neue Angriffstechnik im Repertoire: Sie steigen über Drucker oder VoIP-Phones in Firmennetze ein.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 190 Beiträge

(Bild: metamorworks / shutterstock.com)

Von

Spätestens seit ein paar Jüngelchen für das Botnetz Mirai mal eben schnell hunderttausende IoT-Geräte kaperten, wusste man, dass es da ein riesiges Sicherheitsproblem gibt. Experten warnen deshalb seit Jahren, dass auch Firmen ihre IT in dieser Hinsicht besser absichern müssten. Jetzt wird das akut.

Unsichere Geräte finden sich in vielen Firmennetzen. Sei es, weil niemand auf einem funktionierenden Drucker Updates einspielt oder weil die Geräte noch unbekannte, aber trivial aufzuspürende Zero-Day-Lücken aufweisen. Es war nur eine Frage der Zeit, bis Profi-Hacker solche Lücken ausnutzen, um gezielt in Firmennetze einzusteigen. Und diese Zeit ist offenbar gekommen.

Microsofts Security Team beobachtete bereits im April, dass von Systemen unter Kontrolle der APT-Gruppe Sofacy Angriffe auf drei weit verbreitete IoT-Devices ausgingen: ein VoIP-Phone, einen Office-Drucker und ein Video-Abspielgerät. Die Geräte wiesen zum Teil noch Default-Passwörter des Herstellers auf, zum Teil waren kritische Sicherheits-Updates nicht eingespielt worden. Um welche Geräte es sich dabei konkret handelt, erklärt der Blog-Beitrag des MSRC leider nicht.

Die sogenannte Kill Chain eines typischen APT-Angriffs besteht aus den vier Stufen: Aufklärung, initiale Infektion, Ausbreiten und schließlich dem Exfiltrieren der gestohlenen Daten. Die beobachteten Angriffe auf IoT-Devices gehörten zu Stufe zwei.

(Bild: Airbus )

Weitere Nachforschungen ergaben, dass diese Angriffe dazu dienten, sich Zugang zu Firmennetzen zu verschaffen, um sich dort festzusetzen und danach weiter auszubreiten. Für diesen Schritt – also die initiale Infektion eines Systems im Zielnetz – setzen APT-Gruppen sonst typischerweise etwa Spear Phishing ein.

Die Akteure sind keine Unbekannten; Micosoft schreibt die Aktivitäten einer Gruppe zu, die sie selbst als Strontium bezeichnen. Bekannter sind die aber unter den Namen Sofacy, APT28 und Fancy Bear. Dieser APT-Gruppe werden unter anderem die Einbrüche im Bundestag, dem Auswärtigen Amt und die Manipulationen der letzten US-Wahlen zugeschrieben.

Allgemein richten sich die Angriffe von Sofacy vor allem gegen Firmen und Organisationen aus dem Umfeld von Regierungen, Militär und IT.

Nahezu alle Analysten sind sich einig, dass Sofacy seine Wurzeln im russischsprachigen Raum hat; US-Behörden wie das FBI und mehrere Security-Firmen siedeln sie direkt im Umfeld des russischen Geheimdienstes GRU an. (ju)