Botnetz von Flax Typhoon-Gruppe aufgedeckt

In einem Bericht zeigen sie unter anderem auf, dass nach den USA und Vietnam die meisten Geräte aus Deutschland (18.900) stammen. Es wird der chinesischen Gruppe Flax Typhoon, auch bekannt als RedJuliett und Ethereal Panda, zugeschrieben, die es zu Spionagezwecken eingesetzt haben sollen. Das Botnetz nutzt die Mirai Malware-Familie, deren Quellcode 2016 veröffentlicht wurde und seitdem verwendet wird, um IoT-Geräte wie Webcams, DVRs, IP-Kameras und Router mit Linux-basierten Betriebssystemen zu übernehmen. Seit 2016 wurden verschiedene Mirai-Botnetze immer wieder zur Durchführung von DDoS-Angriffen und anderen kriminellen Aktivitäten verwendet.

Mirai weiterhin aktiv

Antoinette Hodes, Global Solutions Architect & Security Evangelist bei Check Point Software: „Wir treten in eine Ära ein, in der IoT-Geräte wie Router und Webcams tagtäglich in internationalen Cyberkonflikten als Waffen eingesetzt werden. Es gilt nach wie vor, die Lehren aus dem 2020 aufgedeckten Mirai-Botnetz umzusetzen. Leider ist Mirai noch immer aktiv und richtet weiter Schaden an. Weitere Beispiele wie die Aufdeckung des Proxy-Botnetzes RSOCK oder die jüngst bei den Ubiquity G4 Instant Sicherheitskameras veröffentlichten Sicherheitslücken verdeutlichen die Gefährdungslage. Die Warnung der Behörden vor der von China ausgehenden Kampagne zeigt, dass staatlich unterstützte Akteure diese Schwachstellen aktiv ausnutzen, um globale und kritische Netzwerke zu infiltrieren.“

Präventive Sicherheitskontrollen für IoT-Geräte

„Von China gesteuerte Kampagnen schreiben die Spielregeln neu. Niemand spricht über das Ausmaß und die größeren Risiken. Die bösartigen Akteure hinter dem Botnetz gaben sich als Experten einer Informationssicherheitsgruppe namens Integrity Technology Group aus, so dass sie über einen längeren Zeitraum unter dem Radar fliegen konnten. Es gelang ihnen, wertvolle Informationen zu erlangen und sich möglicherweise Zugang zu kritischen Infrastrukturen, Regierungsbehörden, Unternehmen und Universitäten zu verschaffen. Der Vorfall zeigt die Notwendigkeit präventiver Sicherheitskontrollen für IoT-Geräte auf. Diese sollten nach dem Zero-Tolerance-Ansatz erfolgen, um die gesamte Lieferkette abzusichern“, rät Antoine Hodes weiter.

MFA aktivieren und Software aktualisieren

Die folgenden Maßnahmen helfen, um zu verhindern, dass die eigenen Geräte Teil eines Botnetzes werden:

• Einkauf von IoT-Geräten von seriösen Marken, die Security by Design ernstnehmen und der IT-Sicherheit Priorität einräumen sowie Sicherheitsmaßnahmen in die Geräte vor der Markteinführung implementieren.
• Anwendung von Richtlinien für die Komplexität von Passwörtern und die Aktivierung einer Multi-Faktor-Authentifizierung (MFA).
• Sicherstellen, dass die angeschlossenen Geräte mit der neuesten Software stetig aktualisiert werden und ein solider Gerätezustand aufrechterhalten wird.
• Durchsetzung von Zero-Trust-Netzwerkzugangsprofilen für angeschlossene Geräte.
• Trennung und Segmentierung der Netzwerke für IT und IoT.

IoT-basierte Angriffe stark ansteigend

Bereits im letzten Jahr hatten die Sicherheitsforscher von Check Point Research eine Zunahme von IoT-basieren Angriffen festgestellt. In den ersten beiden Monaten des Jahres 2023 war die durchschnittliche Anzahl der wöchentlichen Angriffe auf IoT-Geräte pro Unternehmen im Vergleich zu 2022 um 41 Prozent gestiegen. Im Durchschnitt waren 54 Prozent der Unternehmen jede Woche von versuchten Cyberangriffen auf IoT-Geräte betroffen. Bereits damals waren europäische Unternehmen die am stärksten von Angriffen auf IoT-Geräten attackierten Firmen, gefolgt von jenen aus Asien und Lateinamerika.