Digitale Nager machen sich laut FBI vermehrt über chinesische Webcams sowie Router her.
gumiigutt/shutterstock.com
Sie gehören spätestens seit Corona zum Inventar eines jeden Büros: Webkameras. Häufig handelt es sich jedoch nicht um hochwertige Ware, insbesondere wenn das Gerät nur sporadisch zum Einsatz kommt. Dann greifen viele Konsumenten gerne zu einem Billigangebot aus Fernost. Doch das verursacht nicht nur regelmäßige Hardwareprobleme, sondern kann zu einem veritablen Sicherheitsproblem werden.
Das FBI hat am 17. Dezember davor gewarnt, dass neue HiatusRAT-Malware-Angriffe nach anfälligen Webkameras und DVRs suchen, die online zugänglich sind. Ziel der dahintersteckenden Kriminellen ist es, die Geräte zu infizieren und darüber zum Beispiel Hintertüren in Computer einzubauen.
Wie eine am 16. Dezember veröffentlichte Private Industry Notification (PIN) erklärt, konzentrieren die Angreifer ihre Angriffe auf spezielle Geräte chinesischer Hersteller. Diese weisen vielfach Lücken bei Sicherheits-Patches auf oder haben bereits das Ende ihrer Lebensdauer erreicht.
Die Kameras werden gescannt
Im Vorfeld möglicher Attacken führten die HiatusRAT-Akteure bereits im März 2024 eine breit angelegte Scanning-Kampagne durch. Ziel waren Internet of Things (IoT)-Geräte in den USA, Australien, Kanada, Neuseeland und dem Vereinigten Königreich, so das FBI.
Die Bedrohungsakteure scannten hierbei Webkameras und DVRs auf Schwachstellen wie
- CVE-2017-7921,
- CVE-2018-9995,
- CVE-2020-25078,
- CVE-2021-33044,
- CVE-2021-36260 und
- schwache, vom Hersteller voreingestellte Passwörter.
Besonderer Fokus lag auf Geräten von Hikvision- und Xiongmai, welche über einen Telnet-Zugang verfügen. Die Kriminellen verwenden dabei das Open-Source-Tool Ingram um bei den Webkameras Schwachstellen aufzuspüren. Mit Medusa machen sich die Angreifer ein weiteres Open-Source-Tool zu Nutze und hebeln damit die Authentifizierung aus.
Die Angriffe zielten auf Webkameras und DVRs mit den TCP-Ports 23, 26, 554, 2323, 567, 5523, 8080, 9530 und 56575, die für den Internetzugang offen sind.
Zwei Angriffe vor der eigentlichen Attacke
Die Kampagne ist der Nachfolger zweier groß angelegter Angriffsserien:
- eine, deren Ziel ein Server des US-amerikanischen Verteidigungsministeriums im Jahr 2023 war, wie Bleeping Computer berichtete und
- mehr als hundert Unternehmen aus Nordamerika, Europa und Südamerika deren DrayTek Vigor VPN-Router mit HiatusRAT infiziert worden waren, um ein verdecktes Proxy-Netzwerk aufzubauen.
Einschränken und isolieren
Das FBI rät Nutzern daher, die in der PIN genannten Geräte nur noch eingeschränkt zu nutzen beziehungsweise sie vom Rest ihres Netzwerks zu isolieren. Nur so ließen sich Einbruchs- und Malware-Ausbreitungsversuche nach erfolgreichen HiatusRAT-Angriffen verhindern.
Außerdem fordert die US-Behörde Systemadministratoren und Cybersicherheitsexperten auf, mutmaßliche Anzeichen einer Kompromittierung (IOC) an das Internet Crime Complaint Center des FBI oder die jeweiligen örtlichen FBI-Außenstellen zu melden.
Die Ratten werden ins Licht gezerrt
Lumen, ein US-amerikanisches Cybersicherheitsunternehmen, entdeckte HiatusRAT im Sommer 2023 zuerst. Die Experten fanden heraus, dass es sich hierbei um eine Malware handelt, die zusätzliche Schadsoftware auf infizierten Geräten installiert. Die so gekaperten Geräte werden dann in SOCKS5-Proxys für die Kommunikation mit Command-and-Control-Servern umwandelt.
Die Ziele der Malware stimmen mit Chinas strategischen Interessen hinsichtlich Cyberspionage und Datenklau überein. Das zumindest hebt die Bedrohungsanalyse 2023 der United States Intelligence Community (IC) hervor.
