Werden Sie kostenfrei Mitglied bei CRN, um den Newsletter zu abonnieren und vollen Zugriff auf alle Inhalte zu bekommen, einschließlich dem gesamten Archiv.

SMBs mit alten Routern werden Ziel staatlich finanzierter Hacker

Nach der Enthüllung eines Angriffs aus China, bei dem Hunderte von Routern in kleinen US-Unternehmen und Homeoffices gekapert worden sind, sollte der Channel weltweit auf der Hut sein – vor allem kleinere Firmen, die für Anbieter kritischer Infrastrukturen arbeiten.

clock • Lesezeit 3 Min.
SMBs mit alten Routern werden Ziel staatlich finanzierter Hacker

Letzte Woche hat das FBI eine Router-Hacking-Kampagne aufgedeckt, die mutmaßlich die chinesische Regierung, in Auftrag gegeben hatte. Dieser Vorfall zeige, dass Unternehmen jeder Größe, die Zulieferer für Anbieter kritischer Infrastrukturen sind, ein akutes Angriffsrisiko haben, meint Michael Welch.  Der ehemalige CISO, der heute Geschäftsführer von Morgan Franklin Consulting ist und Infrastrukturanbieter berät, erläuterte CRN, dass kleine Unternehmen das Risiko unterschätzen, zum Angriffsziel zu werden. "Sie denken vielleicht, dass sie kein Ziel von Cyberangreifern sind, aber weil sie Zulieferer für kritische Infrastruktur sind, sind sie jetzt genau."

Vergangenen Mittwoch hatte das FBI mitgeteilt, dass es in einer kürzlich durchgeführten Operation gelungen sei, die Bemühungen der Hackergruppe Volt Typhoon, die sich gegen Betreiber kritischer Infrastrukturen in den USA richten, erfolgreich zu unterbrochen zu habe. Zu den Zielen hätten Anbieter von kritischen Diensten wie Kommunikation, Energie, Wasser und Transport gehört, so das FBI. 

Als Teil des Plans hätte Volt Typhoon "Hunderte" von Routern in kleinen Firmen und Privathaushalten gekapert. Zusammen hätten die mit Malware infizierten Router ein Botnet gebildet. Um diese  "Startrampe" für Angriffe auf kritische Infrastrukturen zu bilden, hätten die Hacker die Schwachstellen von kleinen Büro- und Home-Office-Routern ausgenutzt , berichteten die U.S. Cybersecurity and Infrastructure Security Agency (CISA) und das FBI am vergangenen Mittwoch in einer Mitteilung. Demnach war die "überwältigende Mehrheit" der Router im Volt Typhoon-Botnet von Cisco und NetGear, die nicht mehr mit Sicherheitsupdates unterstützt werden, so das FBI.

Cisco reagierte darauf mit einer Erklärung, in der es hieß, dass es sich bei den Angriffen um End-of-Life-Netzwerkprodukte gehandelt habe. "Für Kunden ist es wichtig, sich des Sicherheitsrisikos bewusst zu sein, das mit dem Einsatz solcher veralteter Produkte verbunden ist. Da sich die Risiken weiterentwickeln, müssen auch die Produkte so gestaltet werden, dass sie bösartigen Akteuren einen Schritt voraus sind", so das Unternehmen.

CRN hat auch NetGear um eine Stellung gebeten.  

Automatisch zum größeren Ziel

Laut Welch, der auch die Sicherheitsabteilung bei Morgan Franklin für Versorgungsunternehmen, Industrie und kritische Infrastrukturen leitet, ist die Verwendung alter, nicht mehr unterstützter Router in KMUs nichts Ungewöhnliches. Aufrüstung verursache Kosten, die KMUs gerne vermeiden, zumal wenn sie nicht glauben, zum Ziel von Hackern werden zu können

"Aber jetzt haben sie es den bösartigen Akteuren leicht gemacht, Router zu kompromittieren und sie in das Botnetz einzubinden", so Welch. Bedrohungsakteure im nationalen Auftrag wissen, dass man sie blockiert, wenn sie einen kritischen Infrastrukturanbieter direkt von einer IP-Adresse in China oder Nordkorea aus angreifen. Wenn sie jedoch in der Lage sind, inländische Router zu verwenden, wird wahrscheinlich davon ausgegangen, dass es sich um harmlose Scan-Aktivitäten handelt", so der Cybersecurity-Experte.

Laut Welch sei es für potenzielle Angreifer zudem relativ einfach, herauszufinden, welche Zulieferer die Betreiber kritische Infrastrukturen als Kunden beteuen. Und als Lieferant würden auch kleine Firmen automatisch zu einem größeren Ziel. "Für die Akteure sind sie nur eine IP-Adresse". 

Skalierende Cyberangriffe 

Welch stimmt mit den Bedenken überein, die von Robert M. Lee, Mitbegründer und CEO des industriellen Cybersicherheitsunternehmens Dragos letzte Woche bei in einer Pressekonferenz zur zunehmenden Bedrohung kritischer Infrastrukturen durch Cyberkriminelle geäußert hatte.

Lee geht davon aus, dass eine Gruppe wie Volt Typhoon über die Ressourcen verfüge, um Toolsets zu entwickeln, die sie in vielen verschiedenen Bereichen kritischer Infrastrukturen wiederverwenden verwenden können. Dragos hatte 2022 ein Toolset namens Pipedream entdeckt und seinerzeit erklärt, dass es "mit Russlands historischem Interesse an ICS übereinstimmt".

Pipedream ließ die Alarmglocken schrillen, "weil es gegen jede beliebige Branche eingesetzt werden konnte" und damit eine "hochgradig skalierbare" Möglichkeit bot, "mit industriellen Netzwerken und Umgebungen zu interagieren, und physische Zerstörungen zu verursachen", so Lee.

Was ihn augenblicklich beunruhigt: "Dass andere Länder an sehr ähnlichen Fähigkeiten arbeiten und Pipedream immer noch existiert. "Und diese Fähigkeiten werden auch künftig an Kriminelle weitergegeben werden".

 

Könnte Sie auch interessieren
HPE-Juniper will mit "moderner KI-gesteuerter Networking-Fabric" den "Status Quo" verändern

Hersteller

Mit der 14 Mrd. US-Dollar-Übernahme von Juniper will HPE-CEO Antonio Neri die Karten im Netzwerkmarkt neu mischen und sagt Wettbewerbern den Kampf an. Cisco nannte er zwar nicht beim Namen, doch genau diesem Netzwerk-Weltmarktführer will die "neue" HPE die Stirn bieten.

clock 08. Februar 2024 • Lesezeit 3 Min.
Neue Sicherheitslücke bei HPE

Security

Die erste Untersuchung einer erst kürzlich bekannt gewordenen Datenpanne bei HPE deutet darauf hin, dass der Vorfall wohl nur eine Testumgebung betraf.

clock 07. Februar 2024 • Lesezeit 2 Min.
Neuer Chef der Produktentwicklung soll Logpoint zum führenden Security-Hersteller in Europa machen

Hersteller

Mehr als 25 Jahre Erfahrung in Cybersicherheit bringt Sean Muirhead zu Logpoint mit. Er soll den dänischen Hersteller zu einem europäischen "Powerhouse" für IT-Sicherheit machen. In einem Punkt ist Logpoint bereits einmalig.

clock 06. Februar 2024 • Lesezeit 2 Min.
Meist gelesen

Registriere dich für unseren Newsletter

Die besten Nachrichten, Geschichten, Features und Fotos des Tages in einer perfekt gestalteten E-Mail.

Mehr von Security

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Ermittlungsbehörden aus 14 Staaten unter Führung der britischen National Crime Agency haben die Erpressergruppe Lockbit ausgehoben. Server auf der ganzen Welt wurden abgeschaltet, mehr als 200 Kryptowährungskonten und weitere 14.000 betrügerische Konten sichergestellt.

Martin Fryba
clock 20. Februar 2024 • Lesezeit 2 Min.
Deutscher IT-Security-Markt steigt erstmals über 10 Mrd. Euro

Deutscher IT-Security-Markt steigt erstmals über 10 Mrd. Euro

IT-Security-Hersteller blicken zufrieden auf Deutschland: Der Markt hierzulande ist weltweit Wachstums-Champion. Ein Wehmutstropfen bleibt indes: Der Schaden durch Cybercrime ist 20-mal höher als die Vorsorgekosten.

Martin Fryba
clock 16. Februar 2024 • Lesezeit 1 Min.
Fünf Aussagen zur KI-Sicherheit von Microsoft und OpenAI

Fünf Aussagen zur KI-Sicherheit von Microsoft und OpenAI

Angreifer nutzen KI-Technologie wie LLM als ein weiteres Produktivwerkzeug für ihre Arbeit. Zu diesem Ergebnis kommt der neue KI-Sicherheitsbericht von Microsoft und OpenAI.

Mark Haranas
clock 15. Februar 2024 • Lesezeit 3 Min.

Höhepunkte

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Ermittlungsbehörden aus 14 Staaten unter Führung der britischen National Crime Agency haben die Erpressergruppe Lockbit ausgehoben. Server auf der ganzen Welt wurden abgeschaltet, mehr als 200 Kryptowährungskonten und weitere 14.000 betrügerische Konten sichergestellt.

Martin Fryba
clock 20. Februar 2024 • Lesezeit 2 Min.
Warum sich MSPs auf dauerhaftes Wachstum einstellen können

Warum sich MSPs auf dauerhaftes Wachstum einstellen können

Um mehr darüber zu erfahren, was Managed Services-Anbieter aktuell beeinflusst und warum sie auch langfristig mit zweistelligem Wachstum können, sprach CRN mit John Pagliuca, Präsident und CEO von N-able.

clock 20. Februar 2024 • Lesezeit 5 Min.
Kursrutsch der Also-Aktie nach Umsatzeinbruch

Kursrutsch der Also-Aktie nach Umsatzeinbruch

Distributor Also verzeichnet für 2023 einen zweistelligen Umsatzrückgang und auch der Gewinn bröckelt. Vor allem das zweite Halbjahr zeigt, wie stark die Nachfrage im Produktgeschäft zurückging.

Martin Fryba
clock 20. Februar 2024 • Lesezeit 2 Min.