Wie Unternehmen Botnet-Angriffe abwehren können

Eine umfangreiche, von China unterstützte Botnet-Kampagne, bei der weltweit Hunderttausende internetfähige Geräte für verschiedene bösartige Aktionen missbraucht wurden, hat die Bedeutung der Aktualisierung von Software und des Austauschs von Produkten am Ende ihrer Lebensdauer unterstrichen. Doch was können Organisationen noch aus diesem Vorfall lernen, während die Zahl und Komplexität von Botnets weiter zunimmt?

What Happened

Im September veröffentlichten das britische National Cyber ​​Security Centre (NCSC) und seine Partner in den Vereinigten Staaten, Australien, Kanada und Neuseeland eine beratende WarnorganisationEs handelt sich um ein mit China verbundenes Botnetz, das zum Starten von Distributed-Denial-of-Service-Angriffen (DDoS), zur Verbreitung von Malware, zum Stehlen vertraulicher Daten und für andere böswillige Aktionen verwendet wird.

Das Botnetz infizierte mehr als 260,000 internetfähige Geräte in Amerika, Europa, Afrika, Südostasien und Australien. Dazu gehörten Router, Firewalls, Webcams, Überwachungskameras und andere Geräte, von denen viele aufgrund ihres veralteten oder nicht gepatchten Funktionsumfangs anfällig für Cybersicherheitsverletzungen waren.

In der Warnung heißt es, dass ein in China ansässiges Unternehmen namens Integrity Technology Group, das vermutlich Verbindungen zur chinesischen Regierung hat, das Botnetz kontrollierte und verwaltete. In der Zwischenzeit nutzte der chinesische Bedrohungsakteur Flax Typhoon das Botnetz für böswillige Aktivitäten.

Die Hintermänner der Malware nutzten den Code des Mirai-Botnetzes, um sich in diese Geräte zu hacken und sie für bösartige Aktivitäten zu missbrauchen. Mirai zielt auf vernetzte Geräte ab, die auf dem Linux-Betriebssystem laufen, und wurde erstmals im August 2016 von Cybersicherheitsforschern bei MalwareMustDie entdeckt.

Ken Dunham, Direktor für Cyberbedrohungen bei der Qualys Threat Research Unit (TRU), beschreibt Mirai als „komplexes Botnet-System“, das für Cyberbedrohungskampagnen verwendet wird, „im Zusammenhang mit der Einführung, der Veröffentlichung des Quellcodes und verschiedenen Änderungen bei Angriffen und Zielen“. Er fügt hinzu: „Mirai ist weiterhin ein leistungsstarkes Botnet.“

Botnetze sind keineswegs ein neues Phänomen. Sie existieren bereits seit fast zwei Jahrzehnten, erklärt Matt Aldridge, leitender Lösungsberater bei der IT-Sicherheitsfirma OpenText Cybersecurity. Fälle, in denen Nationalstaaten bösartige Technologien wie Botnetze einsetzen, seien jedoch „eine neuere Entwicklung“, sagt er.

Die Hauptursachen

Laut Sean Wright, Leiter der Anwendungssicherheit beim Betrugserkennungsspezialisten Featurespace, hat diese jüngste Botnet-Kampagne aus drei Hauptgründen eine so große Zahl internationaler Geräte infiziert.

Wright erklärt, dass das erste Problem darin besteht, dass viele dieser Produkte das Ende ihres Lebenszyklus erreicht hatten, was bedeutete, dass ihre Hersteller keine Sicherheitsupdates mehr herausgaben. Er sagt aber auch, dass es Fälle gegeben haben könnte, in denen die Anbieter einfach nicht an Patches für Sicherheitsprobleme arbeiten wollten.

Das zweite Problem sei, so sagt er, dass die Firmware von IoT-Geräten „von Natur aus unsicher und voller Sicherheitsmängel ist, was sie leicht angreifbar macht. Schließlich können Geräte anfällig für Botnet-Angriffe werden, weil der Endbenutzer keine Software-Updates durchführt.

Wright fügt hinzu: „Sie wissen entweder nicht, wie das geht, sind sich der Updates und der Risiken nicht bewusst oder entscheiden sich einfach dagegen. Wir sehen die Endergebnisse immer wieder.“

Selbst wenn ein Produkthersteller regelmäßig Software-Updates und Sicherheitspatches herausgibt, nutzen Cyberkriminelle laut Aldridge von OpenText Cybersecurity Reverse Engineering, um Sicherheitslücken auszunutzen und im Rahmen von Botnet-Kampagnen die Kontrolle über verbundene Geräte zu übernehmen.

Dunham von der Qualys Threat Research Unit ist der Ansicht, dass die „vielfältige“ Natur von Mirai eine Hauptursache für dieses Botnetz ist. Er erklärt, dass der Schadcode Exploits aus mehreren Jahren nutzt, um „anfällige Geräte zum günstigsten Zeitpunkt schnell zu kompromittieren“ und „die Möglichkeiten zur Verbreitung“ der Malware zu maximieren.

Schlüssellektionen

Da viele dieser Geräte nicht gepatcht waren, ist laut Aldridge von OpenText Cybersecurity eine klare Lehre aus dieser jüngsten Botnet-Kampagne, dass die Benutzer ihre vernetzten Geräte stets auf dem neuesten Stand halten sollten.

Für Aldridge ist eine weitere wichtige Lektion, dass Organisationen Geräte richtig konfigurieren sollten, bevor sie sie einsetzen. Er glaubt, dass dies der Schlüssel zur Gewährleistung der „maximalen Sicherheit“ verbundener Geräte ist. Aldridge erklärt: „Wenn Verbindungen zu einem Gerät nicht aktiviert sind, wird es äußerst schwierig, dieses Gerät zu kompromittieren oder sogar zu entdecken.“

Wright von Featurespace empfiehlt Organisationen, ein Geräte- und Softwareinventar zu erstellen. Indem sie im Rahmen dessen regelmäßig Produktaktualisierungsfeeds überwachen, können Organisationen seiner Meinung nach die neuesten Updates nicht verpassen.

Beim Kauf von Geräten rät Wright Unternehmen, darauf zu achten, dass der Hersteller ausreichend Support bietet und die Lebensdauer seiner Produkte klar definiert. Und wenn für ein Gerät kein Support mehr in Frage kommt, sollten Unternehmen es laut Wright so schnell wie möglich ersetzen.

Dunham von der Qualys Threat Research Unit (TRU) ist ähnlicher Ansicht wie Wright und sagt, es sei klar, dass Unternehmen einen Nachfolgeplan entwickeln und implementieren müssten, der es ihnen ermögliche, alle Formen von Hardware- und Softwarerisiken „im Laufe der Zeit“ zu bewältigen.

„Stellen Sie sicher, dass Sie eine absolut zuverlässige CMDB [Konfigurationsmanagementdatenbank] und ein Inventar haben, dem Sie vertrauen können, dass die Assets klassifiziert und bekannt sind und dass EOL über eine Unternehmensrisikorichtlinie und einen Unternehmensrisikoplan identifiziert und verwaltet wird“, sagt er. „Entfernen Sie EOL und nicht unterstützte Betriebssystem-Hardware und -Software aus der Produktion, um Risiken und Angriffsflächen bestmöglich zu reduzieren.“

Weitere zu unternehmende Schritte

Gibt es neben der regelmäßigen Aktualisierung der Software vernetzter Geräte noch andere Möglichkeiten, um Botnetze zu verhindern? Aldridge von OpenText Cybersecurity ist davon überzeugt. Er ist der Ansicht, dass Unternehmen ihre Geräte und Systeme auch auf Anzeichen von unregelmäßigem Datenverkehr und unregelmäßigen Aktivitäten überwachen sollten.

Er empfiehlt außerdem, Netzwerke zu segmentieren und sie mithilfe mehrerer Schutzebenen abzusichern. Er fügt hinzu, dass diese Schritte „das Risiko verringern und die Auswirkungen eines möglichen Kompromisses begrenzen“.

Wright von Featurespace stimmt zu, dass Organisationen ihrer Netzwerksicherheit besondere Aufmerksamkeit schenken müssen, um Botnetze zu entschärfen. Er sagt, dass Tools wie IPS (Intrusion Protection System) oder IDS (Intrusion Detection System) Benutzer über potenziell bösartige Aktivitäten informieren und diese blockieren.

Dunham von der Qualys Threat Research Unit (TRU) fordert Organisationen auf, zu prüfen, ob ihre Cyberabwehrsysteme stark genug sind, um Botnetze zu bekämpfen, wie etwa eine Zero-Trust-Architektur. Dunham sagt, diese sollten durch kontinuierliche Betriebsverbesserungen verstärkt werden, indem man Purple Learning einsetzt, bei dem Organisationen ihre Cyberabwehr sowohl mit offensiven als auch defensiven Ansätzen stärken.

Die Bedeutung von Branchenrahmenwerken

Die Übernahme eines branchenweit anerkannten Fachmanns Rahmenwerk wie ISO 27001 wird Organisationen außerdem dabei helfen, einen umfassenden und proaktiven Ansatz zur Cybersicherheit zu entwickeln, um Botnetze und andere Cyberbedrohungen jederzeit zu verhindern.

Wright von Featurespace erläutert, dass Branchenrahmenwerke Organisationen einen Maßstab und eine Reihe von Anforderungen bieten, an denen sie sich orientieren können, um ihre Cyberabwehr zu stärken und das Cyberrisiko zu senken.

Er fügt hinzu: „Dies gibt potenziellen Kunden auch mehr Vertrauen in die richtigen Sicherheitskontrollen sind vorhanden.“

Aldridge von OpenText Cybersecurity meint, dass die Einhaltung eines Branchenrahmens Unternehmen dabei helfen sollte, die Prozesse und Richtlinien zu verstehen, die sie einführen müssen, um Geräte sicher zu beschaffen, einzusetzen, zu überwachen und zu entsorgen.

Botnetze können für Opfer schwerwiegende Folgen haben, von Datendiebstahl bis hin zu DDoS-Angriffen. Und wenn Sie Ihre Geräte nicht regelmäßig aktualisieren oder veraltete Produkte verwenden, besteht die Möglichkeit, dass ein Angreifer eines Ihrer Geräte für derartige schändliche Aktionen nutzt.

Um dies zu verhindern, reicht es jedoch nicht aus, einfach auf Bedrohungen zu reagieren, sobald man davon erfährt; es bedarf vielmehr eines langfristigen Engagements in der Cybersicherheit, das durch branchenspezifische Rahmenbedingungen vereinfacht werden kann.