DDoS-Angriffe aus dem Internet der Dinge IoT als Schlaraffenland für Cyberkriminelle

Anbieter zum Thema

Sinequa

Insider Research

Netscout, Kastor & Pollux

Die Präsenz von IoT-Geräten im Internet nimmt weiter in rasantem Tempo zu - sehr zur Freude der organisierten Cyberkriminalität. Denn diese sieht in den erwarteten 20,4 Milliarden Endgeräten, die voraussichtlich bis zum Ende des Jahres 2020 mit dem Internet verbunden sein werden, eine auf dem Silbertablett servierte Cash Cow.

Es sind nicht nur die privat genutzten intelligenten Uhren, Tablets, Haussteuerungsgeräte, Smart Toys und Autos, die weltweit millionenfach zum Einsatz kommen und deren Sicherheitsfunktionen oft noch nicht ausgereift sind. Auch in vielen Branchen sind Geschäftsmodelle ohne das Internet der Dinge kaum mehr denkbar.

Für die Betreiber von Botnets eröffnet sich so ein reichhaltiges Angebot an Systemen, die geeignet sind, ihren Teil zur nächsten DDoS-Attacke beizutragen. Cybercrime ist heute Mainstream: Studenten können Botnets mieten, um Testplattformen abzuschalten. Nationalstaaten nutzen digitale Waffen für geopolitische Auseinandersetzungen. Bestens ausgebildete Gruppen agieren gemeinsam über Ländergrenzen hinweg und verfolgen bei ihren Datendiebstählen und DoS-Attacken ausschließlich die Gewinnmaximierung.

Das Ausmaß der Bedrohung wird deutlich, wenn man den von Netscout veröffentlichen "Threat Intelligence Report" für das zweite Halbjahr 2019 aufschlägt. Die Security-Spezialisten überwachen bereits seit 2007 die Entwicklung der Angriffe auf digitale Infrastrukturen, wobei das Active Threat Level Analysis System (ATLAS) Daten aus realen Angriffen und Angriffsversuchen auf Basis von originärer Forschungs- und Infrastrukturdaten sowie aus der automatisierten Malware-Analyse-Pipelines, Sinkholes, Scanner und Honeypots sammelt, analysiert, priorisiert und konsolidiert.

Mit dem IoT boomt auch Mirai

Dem Report zufolge wurde in der zweiten Hälfte des Jahres 2019 ein signifikanter Anstieg von IoT-basierter Malware beobachtet, die größtenteils aus Mirai-Varianten besteht. Waren in 2017 noch rund 35.000 Mirai-Samples identifiziert worden, so lag diese Zahl in 2019 bereits bei mehr als 225.000, die auf 17 unterschiedliche Systemarchitekturen zugeschnitten sind. Dabei zielen die erfolgreichen Angriffe nicht nur darauf ab, sensitive Daten zu entwenden, vielmehr werden kompromittierte Geräte in Botnets integriert. Die Folge sind vermehrte Distributed Denial of Service (DDoS)-Angriffe auf Services, Anwendungen und mobile Netzwerke.

Insgesamt wurden in 2019 rund 8,4 Millionen DDoS-Attacken verzeichnet - dies sind mehr als 23.000 Angriffe pro Tag oder 16 pro Minute. In zwei Dritteln der Fälle waren Unternehmen dabei das Ziel. Gegenüber dem Vergleichszeitraum 2018 stieg die Zahl der Angriffe in der zweiten Hälfte 2019 um stattliche 87 Prozent, wobei der größte abgewehrte Angriff ein Maximalvolumen von 622 Gbit/s erreichte.

Insbesondere die Anbieter von Mobilnetzwerken erlebten im zweiten Halbjahr 2019 einen Anstieg der DDoS-Angriffsfrequenz um 64 Prozent gegenüber des gleichen Zeitraums 2018. Dies war hauptsächlich auf die zunehmende Tendenz zurückzuführen, mobile Geräte als drahtlosen Hotspot zu nutzen. Auch die Beliebtheit von Spielen auf mobilen Geräten mit 4G-Konnektivität trug zu diesem Wachstum bei. Bei der Satellitentelekommunikation verzeichnete man sogar einen Anstieg der Angriffszahl um 295 Prozent. Service Provider berichteten über eine 52-prozentige Zunahme bei den DDoS-Attacken auf öffentlich zugängliche Service-Infrastrukturen, im Vorjahr lag dieser Wert noch bei 38 Prozent.

DDoS als Dienstleistung

Die deutliche Steigerung der DDoS-Angriffszahlen lässt unter anderem den Rückschluss zu, dass sich das Geschäftsmodell DDoS-for-Hire erfolgreich etabliert hat. Dabei stellen DDoS-Profis gegen Entgelt ihre Expertise für Interessierte zur Verfügung, um für den Auftraggeber missliebige Websites in die Knie zu zwingen. Mittlerweile haben diese DDoS-Dienstleister ihre Position als Start-Ups verlassen und arbeiten bei der Monetarisierung ihrer Leistungen so effizient, dass es lediglich fünf Tage dauern kann, bis ein gewünschtes Angriffsziel unter Dauerfeuer genommen wird. Um die notwendige Zahl an Verbindungsanfragen zu generieren, haben kompromittierte IoT-Geräte mittlerweile eine Hauptrolle übernommen. Aktuell zeichnet sich der Trend deutlich ab, auch IoT-Geräte hinter Firewalls anzugreifen, da diese als großzügige Bandbreitenspender erkannt worden sind: Die Zahl der hinter Firewalls befindlichen IoT-Geräte ist 20-mal höher als die der direkt mit dem Internet verbundenen.

Durch neue Angriffsvektoren, den Missbrauch mobiler Hotspots und das gezielte Anpeilen kompromittierter IoT-Endgeräte finden Angreifer hierfür zunehmend erfolgversprechende Wege. Dabei ist auffällig, dass Angreifer meist sparsam mit ihrer Munition umgehen und pro Attacke nur einen kleinen Teil der verfügbaren kompromittierten Geräte nutzen. So kam beim größten von Netscout beobachteten Angriff weniger als ein Prozent der verfügbaren Reflektoren zum Einsatz. Auch in den meisten anderen beobachteten Fällen wurden weniger als drei Prozent der verfügbaren Ressourcen in diesem Angriffsvektor verwendet.

In der Studie ausgeführt ist auch die kontinuierlich steigende Anzahl der Aktivitäten durch staatlich unterstützte Cyberkriminelle, die im Auftrag von Interessengruppen oder Regierungen digitale Ziele attackieren, wobei Unternehmen, internationale Organisationen oder auch NGOs im Fadenkreuz stehen. Dabei kommen Cybertaktiken zum Einsatz, die von Malware- und DDoS-Angriffen bis hin zum Social Engineering reichen. Die ausführenden Advanced Persistent Threats (APT)-Gruppen erhalten dabei nicht nur ihre finanzielle Grundlage vom Staat, sondern können für ihre Attacken häufig auch auf Spitzentechnologien zurückgreifen.

Über den Autor: Kirill Kasavchenko ist Principal Security Technologist, CTO Office bei Netscout.

(ID:46823102)