88 Prozent der Attacken sind auf russische IP-Adresse zurückzuführen
München, 19. Juni 2018 – Cybersecurity-Forscher von F5 haben eine Reihe von Cyber-Angriffen auf Singapur identifiziert, die am 11. und 12. Juni 2018 anlässlich der Gespräche zwischen den USA und Nordkorea stattgefunden haben. 88 Prozent der Attacken am 12. Juni sind auf eine russische IP-Adresse (188.246.234.60) zurückzuführen. Sie hatten VoIP-Telefone, wie sie in vielen Hotels zu finden sind, und IoT-Geräte im Visier. Bei den Angriffen handelt es sich in ersten Linie um Scans, bei denen nach Schwachstelen in Systemen gesucht wird. Darüber hinaus haben die Sicherheitsexperten tatsächliche Attacken festgestellt, die sowohl aus Russland als auch aus Brasilien kamen. Dabei hatten es die Cyber-Kriminellen am häufigsten auf das Protokoll SIP 5060 abgesehen. Dieses wird von IP-Telefonen verwendet, um Kommunikation im Klartext zu übertragen. Außerdem fanden Angriffe auf den Telnet-Port in Verbindung mit IoT-Geräten statt, die sich in der Nähe von interessanten Zielen befinden. Auch der Port 7457, der vom Mirai-Botnetz und Annie verwendet wird, um mit ISP verwaltete Router zu attackieren, stand im Fokus der Angriffe.
Kommunikation ausspioniert und Daten abgegriffen
Bei SIP handelt es sich um ein IP-Telefonprotokoll. 5060 ist ein spezieller unverschlüsselter Port. Dass er als Top-Angriffsziel gilt, ist sehr ungewöhnlich. „Wir gehen davon aus, dass die Angreifer versucht haben, sich Zugang zu unsicheren Telefonen oder vielleicht auf VoIP-Server zu verschaffen“, erklärt Ralf Sydekum, Technical Manager bei F5. Telnet ist der von IoT-Angreifern am häufigsten attackierte Remote Administration Port. „Es ist sehr wahrscheinlich, dass die Cyber-Kriminellen nach jedem IoT-Gerät gesucht haben, das sie kompromittieren konnten, um sich Zugang zu interessanten Zielen zu verschaffen. Von dort aus konnten sie die Kommunikation ausspionieren und Daten sammeln“, ergänzt Sydekum.
Port 7457 wird von ISPs zur Fernverwaltung ihrer Router verwendet. Dieses Protokoll griffen Mirai und Annie an, die Ende 2016 europäischen ISPs Schaden in Höhe von vielen Millionen US-Dollar zugefügt hatten. War dieser Port in Singapur von Geräten geöffnet und lediglich mit Standard-Zugangsdaten geschützt, haben die Angreifer wahrscheinlich mit einem „Man in the Middle“-Angriff auf diese Geräte zugegriffen und jeglichen Datenverkehr einsehen können, indem sie Daten gesammelt oder den Datenverkehr umgeleitet haben. Port 8291 wurde kürzlich von Hajime attackiert. Dieser Thingbot infizierte PDoS-Geräte, die sonst von Mirai angegriffen worden wären. Wenn in Singapur Geräte diesen Port genutzt haben und nur mit Standard-Zugangsdaten des Herstellers geschützt waren, erhielten Angreifer wahrscheinlich Zugriff darauf.
Angriffsdaten detailliert auswerten
„Was die Angreifer mit den SIP-Attacken vorhatten und ob sie erfolgreich waren, ist derzeit noch unklar. Wir werden die gesammelten Angriffsdaten weiter analysieren und Informationen herausgeben, sobald sie uns vorliegen“, sagt Ralf Sydekum. „Um sich zu schützen, sollten Nutzer die Fernwartung ihrer Geräte in ihrem Netzwerk mit einer Firewall und einem VPN sichern und sich auf ein bestimmtes Netzwerk-Management beschränken. Eine offene Kommunikation mit dem gesamten Internet sollte stets unterbunden werden. Außerdem ist es empfehlenswert, die Standard-Zugangsdaten des Herstellers immer zu ändern und aktuelle Sicherheits-Patches der Hersteller zeitnah einzuspielen.“
Über F5 Networks
F5 (NASDAQ: FFIV) macht Apps schneller, intelligenter und sicherer für die weltweit größten Unternehmen, Dienstleister, Regierungen und Verbrauchermarken. F5 liefert Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die von ihnen gewählte Anwendungsinfrastruktur zu nutzen, ohne dabei auf Geschwindigkeit und Kontrolle zu verzichten. Weitere Informationen finden Sie unter f5.com. Für weitere Informationen über F5, seine Partner und Technologien folgen Sie F5 auch auf Twitter oder besuchen Sie uns auf LinkedIn und Facebook.
Fink & Fuchs AG
Michaela Ferber und Kirsten Gnadl Tel.: +49 89-589787-14 |
F5 Networks
Claudia Kraus Tel.: +49 89-94383-0 |