SMBs mit alten Routern werden Ziel staatlich finanzierter Hacker

Nach der Enthüllung eines Angriffs aus China, bei dem Hunderte von Routern in kleinen US-Unternehmen und Homeoffices gekapert worden sind, sollte der Channel weltweit auf der Hut sein – vor allem kleinere Firmen, die für Anbieter kritischer Infrastrukturen arbeiten.

SMBs mit alten Routern werden Ziel staatlich finanzierter Hacker

Letzte Woche hat das FBI eine Router-Hacking-Kampagne aufgedeckt, die mutmaßlich die chinesische Regierung, in Auftrag gegeben hatte. Dieser Vorfall zeige, dass Unternehmen jeder Größe, die Zulieferer für Anbieter kritischer Infrastrukturen sind, ein akutes Angriffsrisiko haben, meint Michael Welch. Der ehemalige CISO, der heute Geschäftsführer von Morgan Franklin Consulting ist und Infrastrukturanbieter berät, erläuterte CRN, dass kleine Unternehmen das Risiko unterschätzen, zum Angriffsziel zu werden. "Sie denken vielleicht, dass sie kein Ziel von Cyberangreifern sind, aber weil sie Zulieferer für kritische Infrastruktur sind, sind sie jetzt genau."

Vergangenen Mittwoch hatte das FBI mitgeteilt, dass es in einer kürzlich durchgeführten Operation gelungen sei, die Bemühungen der Hackergruppe Volt Typhoon, die sich gegen Betreiber kritischer Infrastrukturen in den USA richten, erfolgreich zu unterbrochen zu habe. Zu den Zielen hätten Anbieter von kritischen Diensten wie Kommunikation, Energie, Wasser und Transport gehört, so das FBI.

Als Teil des Plans hätte Volt Typhoon "Hunderte" von Routern in kleinen Firmen und Privathaushalten gekapert. Zusammen hätten die mit Malware infizierten Router ein Botnet gebildet. Um diese "Startrampe" für Angriffe auf kritische Infrastrukturen zu bilden, hätten die Hacker die Schwachstellen von kleinen Büro- und Home-Office-Routern ausgenutzt , berichteten die U.S. Cybersecurity and Infrastructure Security Agency (CISA) und das FBI am vergangenen Mittwoch in einer Mitteilung. Demnach war die "überwältigende Mehrheit" der Router im Volt Typhoon-Botnet von Cisco und NetGear, die nicht mehr mit Sicherheitsupdates unterstützt werden, so das FBI.

Cisco reagierte darauf mit einer Erklärung, in der es hieß, dass es sich bei den Angriffen um End-of-Life-Netzwerkprodukte gehandelt habe. "Für Kunden ist es wichtig, sich des Sicherheitsrisikos bewusst zu sein, das mit dem Einsatz solcher veralteter Produkte verbunden ist. Da sich die Risiken weiterentwickeln, müssen auch die Produkte so gestaltet werden, dass sie bösartigen Akteuren einen Schritt voraus sind", so das Unternehmen.

CRN hat auch NetGear um eine Stellung gebeten.

Automatisch zum größeren Ziel

Laut Welch, der auch die Sicherheitsabteilung bei Morgan Franklin für Versorgungsunternehmen, Industrie und kritische Infrastrukturen leitet, ist die Verwendung alter, nicht mehr unterstützter Router in KMUs nichts Ungewöhnliches. Aufrüstung verursache Kosten, die KMUs gerne vermeiden, zumal wenn sie nicht glauben, zum Ziel von Hackern werden zu können

"Aber jetzt haben sie es den bösartigen Akteuren leicht gemacht, Router zu kompromittieren und sie in das Botnetz einzubinden", so Welch. Bedrohungsakteure im nationalen Auftrag wissen, dass man sie blockiert, wenn sie einen kritischen Infrastrukturanbieter direkt von einer IP-Adresse in China oder Nordkorea aus angreifen. Wenn sie jedoch in der Lage sind, inländische Router zu verwenden, wird wahrscheinlich davon ausgegangen, dass es sich um harmlose Scan-Aktivitäten handelt", so der Cybersecurity-Experte.

Laut Welch sei es für potenzielle Angreifer zudem relativ einfach, herauszufinden, welche Zulieferer die Betreiber kritische Infrastrukturen als Kunden beteuen. Und als Lieferant würden auch kleine Firmen automatisch zu einem größeren Ziel. "Für die Akteure sind sie nur eine IP-Adresse".

Skalierende Cyberangriffe

Welch stimmt mit den Bedenken überein, die von Robert M. Lee, Mitbegründer und CEO des industriellen Cybersicherheitsunternehmens Dragos letzte Woche bei in einer Pressekonferenz zur zunehmenden Bedrohung kritischer Infrastrukturen durch Cyberkriminelle geäußert hatte.

Lee geht davon aus, dass eine Gruppe wie Volt Typhoon über die Ressourcen verfüge, um Toolsets zu entwickeln, die sie in vielen verschiedenen Bereichen kritischer Infrastrukturen wiederverwenden verwenden können. Dragos hatte 2022 ein Toolset namens Pipedream entdeckt und seinerzeit erklärt, dass es "mit Russlands historischem Interesse an ICS übereinstimmt".

Pipedream ließ die Alarmglocken schrillen, "weil es gegen jede beliebige Branche eingesetzt werden konnte" und damit eine "hochgradig skalierbare" Möglichkeit bot, "mit industriellen Netzwerken und Umgebungen zu interagieren, und physische Zerstörungen zu verursachen", so Lee.

Was ihn augenblicklich beunruhigt: "Dass andere Länder an sehr ähnlichen Fähigkeiten arbeiten und Pipedream immer noch existiert. "Und diese Fähigkeiten werden auch künftig an Kriminelle weitergegeben werden".