CCTV-Botnets im eigenen Hinterhof

Autor/Redakteur: Dietmar Kenzle, Area Vice President DACH & Eastern Europe bei Imperva/gg

Krenzle

Immer wieder wird in den Medien über die vom “Internet der Dinge” ausgehende Bedrohung der Cybersicherheit berichtet. Man hat fast den Eindruck, als warte eine barbadische Horde von miteinander verbundenen Geräten nur darauf, von irgendeinem semi-kompetenten Hacker kompromittiert zu werden. Bislang konnte keine im Kühlschrank versteckte Malware entdeckt werden, aber dafür einige IoT-Botnets, die überwiegend aus Closed Circuit Televisions (CCTVs) bestehen. Das Unternehmen Imperva, das es sich zur Aufgabe gemacht hat, geschäftskritische Daten in der Cloud und am Arbeitsplatz zu schützen, hat bereits im März 2014 erstmalig vor ihnen gewarnt, als es eine 240-prozentige Zunahme der Botnet-Aktiväten auf dem eigenen Netz festgestellt hat, wovon ein Großteil auf kompromittierte CCTV-Kameras zurückzuführen war.

Das ist nicht wirklich überraschend, denn CCTV Kameras gehören zu den meist genutzten IoT Geräten. Im Jahr 2014 sollen 245 Millionen Überwachungskameras rund um die Welt im Einsatz gewesen sein. Und das sind nur die professionell installierten Geräte. Es gibt wahrscheinlich weitere Millionen, die durch nicht qualifizierte Fachkräften mit noch weniger Sicherheitsvorkehrungen installiert wurden.

Diese Zahlen und das Fehlen des nötigen Sicherheitsbewusstseins vieler Kamerabesitzer sind die Gründe, warum CCTV-Botnets zu den ältesten Cyber-Feinden gehören. Aber auch alte Feinde können überraschen, wie Imperva selbst kürzlich feststellen musste, als ein Kunde des Unternehmens wiederholt HTTP-Flood-Attacken ausgesetzt war.

Der Angriff war eigentlich eher gewöhnlich, mit einem Spitzenwert von 20.000 Anfragen pro Sekunde (RPS). Die Überraschung kam erst später, als die Mitarbeiter von Imperva die Liste der angreifenden IP-Adressen scannten und dabei feststellen mussten, dass einige der Botnet-Geräte direkt im eigenen Hinterhof lokalisiert waren.

Weitere Untersuchungen der beanstandeten IP-Adressen zeigten, dass diese zu CCTV-Kameras gehörten, die alle über ihre Standard-Anmeldedaten zugänglich waren. Und das war nicht alles. Mit einem Blick durch das Objektiv der Kamera eröffnete sich ein vertrautes Bild: Das Schaufenster eines Einkaufszentrums keine fünf Minuten von den Imperva-Büros entfernt.

Im Einkaufszentrum trafen die Mitarbeiter von Imperva auf die Ladenbesitzer und zeigten ihnen, wie ihre CCTV-Kameras missbraucht wurden, um die Kunden von Imperva anzugreifen. Natürlich wurde ihnen sogleich geholfen, die dafür verantwortliche Malware von der Festplatte der infizierten Kameras zu entfernen. Dabei konnte beobachtet werden, wie die Malware bis zum letzten Moment mit fiesen Angriffen attackierte.

Wie bereits erwähnt, handelte es sich bei dem Angriff um eine HTTP GET Flood, die in rund 20.000 RPS gipfelte und deren Datenverkehr von rund 900 CCTV-Kameras rund um den Globus ausging. Ihr Ziel war ein eher selten genutztes Asset eines großen Cloud-Service-Anbieters mit Millionen von Benutzern weltweit.

Abbildung 1: Geo-Standort der Botnet-Geräte
Abbildung 1: Geo-Standort der Botnet-Geräte

Auf allen kompromittierten Geräten lief Embedded Linux mit BusyBox – ein Paket das speziell für Systeme mit begrenzten Ressourcen entwickelt wurde und aus gängigen Unix-Werkzeugen besteht, die in einer kleinen ausführbaren Datei gebündelt sind.