Microsoft registriert Angriffe auf Firmen über IoT-Devices

Nach Angaben von Microsoft nutzen Hacker IoT-Geräte für den Angriff auf Firmennetzwerke. Seit April registriert Microsoft diese Angriffstechnik. Als Urheber macht das Softwareunternehmen die Gruppe Strontium aus. Sie ist auch unter dem Namen APT 28 und Fancy Bear bekannt soll mit dem russischen Geheimdienst in Verbindung stehen.

Microsoft will die Angriffe auf „beliebte IoT-Geräte an mehreren Kundenstandorten“ entdeckt haben. Die Hackergruppe versuchte, ein VOIP-Telefon, einen Bürodrucker und einen Videodecoder auszunutzen, um in das Netzwerk der betroffenen Firmen zu gelangen.

„Die Untersuchung ergab, dass ein Akteur diese Geräte benutzt hatte, um sich einen ersten Zugang zu Unternehmensnetzwerken zu verschaffen“, sagte das in Redmond ansässige Unternehmen. „In zwei der Fälle wurden die Passwörter für die Geräte ohne Änderung der Standardpasswörter des Herstellers bereitgestellt.“ Im dritten Fall konnten die Hacker einen erfolgreichen Angriff ausführen, weil das Gerät nicht mit den aktuellen Sicherheitsupdates versorgt wurde.

Laut Microsoft nutzen die Hacker die kompromittierten IoT-Geräte als Einstiegspunkt für die internen Netzwerke ihrer Ziele, wo sie nach anderen anfälligen Systemen suchen würden.

„Nachdem er Zugriff auf jedes der IoT-Geräte erhalten hat, hat der Akteur tcpdump ausgeführt, um den Netzwerkverkehr in lokalen Subnetzen auszuspähen“, teilte das Unternehmen mit.

Microsoft hat eigenen Angaben zufolge diese Angriffe in ihren frühen Phasen identifiziert und blockiert, sodass es nicht in Erfahrung bringen konnte, auf welche Daten es die Hacker abgesehen hatten.

Cyber-Spionagegruppen nutzen zunehmend IoT-Geräte

Es ist nicht das erste Mal dass der Hackergruppe Strontium ein Angriff über IoT-Geräte zugeschrieben wird. Die gleiche Gruppe hat zuvor ein Botnet mit Zehntausenden von Heimroutern mit der Malware VPNFilter unterhalten. Experten glaubten, dass Strontium sich darauf vorbereitet, das Botnetz zu nutzen, um DDoS-Angriffe auszuführen.

Aber neben Strontium haben auch andere staatlich geförderte Gruppen begonnen, sich auf IoT-Geräte und vor allem Router zu konzentrieren. Beispiele sind die Gruppen LuckyMouse, Inception Framework und Slingshot.

Microsoft plant, weitere Informationen über die Angriffe von Strontium Ende dieser Woche auf der Black Hat USA 2019 Sicherheitskonferenz zu veröffentlichen.

Was Unternehmen tun können

Microsoft empfiehlt Unternehmen im Umgang mit IoT-Geräten folgende Maßnahmen zu beachten, um sich vor Angriffen zu schützen:

• Genehmigung und Katalogisierung aller IoT-Geräte, die in der Unternehmensumgebung betrieben werden
• Entwicklung einer benutzerdefinierten Sicherheitsrichtlinie für jedes IoT-Gerät.
• IoT-Geräte niemals direkt mit dem Internet verbinden oder benutzerdefinierte Zugangskontrollen implementieren
• Nach Möglichkeit, ein separates Netzwerk für IoT-Geräte einrichten.
• Durchführung von Routinekonfigurations-/Patch-Audits für eingesetzte IoT-Geräte.
• Richtlinien für die Isolierung von IoT-Geräten definieren, Aufbewahrung von Gerätedaten, Protokolle des Geräteverkehrs führen, und die Erfassung von Images für forensische Untersuchungen.
• Schwachstellen bei der Konfiguration von IoT-Geräten oder IoT-basierte Einbruchsszenarien einbauen für die interne Analyse.
• Überwachen der Aktivität von IoT-Geräten auf anormales Verhalten (z.B. ein Drucker, der SharePoint-Seiten durchsucht….).
• Überprüfung aller Identitäten und Anmeldeinformationen, die autorisierten Zugriff auf IoT-Geräte, Benutzer und Prozesse haben.
• Zentrale Erfassung von Asset-, Konfigurations- und Patch-Management.
• Bei Geräten, die von Drittanbieter bereitgestellt und verwaltet werden, vertragliche Regelung in Verträge bezüglich einzuhaltender Sicherheitspraktiken und Audits aufnehmen, die den Sicherheitsstatus und den Zustand aller verwalteten Geräte melden.
• SLA-Bedingungen in IoT-Gerätelieferverträge einbauen, die ein für beide Seiten akzeptables Zeitfenster für investigative Reaktionen und forensische Analysen enthält.