IoT-Geräte im Privatumfeld wie digitale Bilderrahmen oder Mediaplayer, die mit dem Internet verbunden werden, können mit Schadsoftware infiziert werden und sind daher immer häufiger Ziel von Cyberkriminellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Aktion die Kommunikation zwischen der Schadsoftware BadBox und den Cyberkriminellen auf bis zu 30.000 solcher Geräte in Deutschland unterbunden
Anzeige
Risiko infizierte IoT-Geräte
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies in einer Pressemitteilung auf vorinstallierte Schadsoftware auf IoT-Geräten hin. Beispiele für solche IoT-Geräte im Privatumfeld können digitale Bilderrahmen oder Mediaplayer sein, die mit dem Internet verbunden werden. Derartige Geräte können mit Schadsoftware infiziert werden und sind daher immer häufiger Ziel von Cyberkriminellen. Manche Geräte werden bereits mit Schadsoftware ausgeliefert.
Die BadBox-Malware
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist auf eine Schadsoftware namens BadBox gestoßen, die auf solchen IoT-Geräten vorinstalliert war. Allen Geräten war gemein, dass sie mit veralteten Android-Versionen betrieben werden und mit vorinstallierter Schadsoftware ausgeliefert wurden.
Obiger Tweet und der Artikel BSI weist auf vorinstallierte Schadsoftware auf IoT-Geräten hin greifen das Thema ebenfalls auf.
Anzeige
- BadBox ist in der Lage, unbemerkt Accounts für E-Mail- und Messenger-Dienste zu erstellen, über die anschließend Fake-News verbreitet werden können. Weiterhin kann
- BadBox Werbebetrug (Ad-Fraud) durchführen, indem es im Hintergrund Webseiten ansteuert.
- Darüber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzerinnen und Nutzer unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden.
- Darüber hinaus kann BadBox weitere Schadsoftware nachladen.
Also eine vielseitige Malware mit umfangreichen Funktionen, die auf bis zu 30.000 solcher IoT-Geräte in Deutschland vorhanden war und mit den entsprechenden C&C-Servern kommunizierte.
Operation BadBox zur Abschaltung
Das BSI leitet derzeit – im Rahmen einer Sinkholing-Maßnahme (siehe auch) nach § 7c BSI-Gesetz (BSIG) – die Kommunikation betroffener Geräte mit den Kontrollservern der Täter um. Dies betrifft Provider, die über 100.000 Kundinnen und Kunden haben. Für diese Geräte besteht keine akute Gefahr mehr, solange das BSI die Sinkholing-Maßnahme aufrechterhält.
Grundsätzlich besteht aber für alle IT-Produkte mit veralteten Firmware-Versionen das Risiko, dass sie für Schadsoftware anfällig sind. Dies betrifft somit neben den bei der BSI-Maßnahme auffällig gewordenen Bilderrahmen und Mediaplayern auch zahlreiche weitere Produktklassen. Internationale Berichte legen nahe, dass auch Smartphones und Tablets zu infizierten Geräten gehören können. Das BSI geht daher von einer sehr hohen Dunkelziffer aus und ruft dazu auf, entsprechende Geräte vom Internet zu trennen oder nicht weiter zu benutzen.
Verbraucherinnen und Verbraucher, deren Geräte als infiziert identifiziert werden können, werden anhand ihrer IP-Adresse in der Regel von ihren Telekommunikationsanbietern über den Verdacht einer bestehenden Schadsoftware-Infektion in ihrem Netzwerk informiert. Der genaue Inhalt dieser Information kann sich je nach Provider unterscheiden.
Da es sich im konkreten Fall um oftmals baugleiche Produkte handelt, die jedoch unter unterschiedlichen Namen und Bezeichnungen vertrieben werden, kann durch das BSI keine Produktnennung erfolgen. Das BSI bittet jedoch darum, diese Informationen ernst zu nehmen und alle internetfähigen Produkte im jeweiligen Netzwerk zu überprüfen.
Ein betroffenes Gerät sollte umgehend vom Internet getrennt werden. Auch Verbraucherinnen und Verbraucher, die nicht unmittelbar informiert werden, sollten ihre Geräte überprüfen.
Viele Fragen rund um das Thema Sinkholing und die Informationen durch die Provider beantwortet das BSI hier: Fragen und Antworten zu Botnetzen.
Das BSI empfiehlt zudem, vor dem Kauf entsprechender Produkte, die Sicherheitseigenschaften des Geräts zu überprüfen. Empfehlenswert ist ein offizieller Hersteller-Support, eine aktuelle Version des jeweiligen Betriebssystems oder ein Blick auf die Seriosität des Herstellers. Weitere Tipps dazu hält das BSI unter Smarthome – den Wohnraum sicher vernetzen bereit.
Anzeige
Der Hinweis vom BSI ist toll. Das „verseuchte" Gerät meldet sich ja mit „Hier bin ich" auf Nachfrage. Der Provider schickt ne nette snail-Mail Nachricht dass eines der Geräte „böse" ist und dann darf man suchen. Gut wen man weiß was.
Richtig. Wie soll Max Mustermann zuordnen, um welches Gerät es sich handelt?
Kommt auf Anfrage das BSI mit einem Mitarbeiter vorbei und hilft bei der Suche nach dem Gerät.
Was passiert, wenn er das betreffende Gerät nicht außer Betrieb nimmt, da es ohne nennenswerte Probleme "funktioniert".
z.B. Das Internetradio spielt weiterhin ohne Aussetzer die eingespeicherten Sender.
Wer haftet für eine Nachbesserung der Sache, wenn sich das Gerät noch in den ersten 6 Monaten nach dem Kauf befindet?
Wer überprüft ob das Austauschgerät die Identische Schadsoftware vorinstalliert hat?
"Was passiert, wenn er das betreffende Gerät nicht außer Betrieb nimmt"
1) Der ISP könnte schlicht den Anschluss lahmlegen, allen Verkehr (ausser Webtraffic -> Umleitung auf Hinweisseite) blockieren.
Andernorts wird das gemacht und erst auf Nachweis der Säuberung wieder freigeschaltet. So hat auch der gemeine Benutzer einen Anreiz, schnell etwas zu tun (muss halt idR einen Fachmann beauftragen).
"Wer überprüft ob das Austauschgerät die Identische Schadsoftware vorinstalliert hat?"
Der vorgenannte Fachmann. Irrt er oder spart der Benutzer diese Prüfung und hat Pech, dann weiter bei 1).
"(muss halt idR einen Fachmann beauftragen)"
Und wer wäre in diesem Fall der Fachmann?
– Der Provider der dich über den Sachverhalt informiert hat.
– Die Werkstatt Abteilung eines Media Saturn Marktes.
– Ein lokales Systemhaus (sofern es in deinem Ort verfügbar ist)
————————-
Zusätzlich dazu habe ich noch einen Artikel von Golem gefunden. In dem geht es über die Schadsoftware BadBox. Er stammt vom 9. Oktober 2023.
https(:)//www.golem.de/news/smartphones-und-mehr-viele-billige-android-geraete-ab-werk-mit-malware-infiziert-2310-178312.html
In dem Artikel ist auch noch ein Bericht von "HUMAN's Satori Threat Intelligence and Research Team" verlinkt.
https(:)//www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf
Laut den damaligen Informationen, wurde die Schadsoftware zuerst auf "T95 Android TV Boxen" mit Android 10 gefunden.
"Und wer wäre in diesem Fall der Fachmann?"
Genau, wie bei Sanitär, Heizung, Elektrik, …: Der nächstgelegene hinreichend qualifizierte Betrieb.
In Bezug auf Malware kann das auch der örtliche Kleinunternehmer ("one man show") sein, sonst eben aus dem nächsten grösseren Ort (wen rufen Sie denn auf dem Dorf/Klein(st)stadt, wenn die Heizung versagt oder das Wasserrohr bricht? Die Menschen sind es nur nicht gewohnt, dass IT ein ebenso kostenpflichtiges Gewerbe ist, wie jedes Andere auch und somit ohne eigenes Wissen/Können zum teuren Hobby werden kann).
Ich dachte, gerade IoT-Geräte bei denen man nicht mehr wirklich der Eigner ist) würden gerne für DDoS eingesetzt. Da gibt es bestimmt Überlappungen zum anderen Thema…:
https://www.borncity.com/blog/2024/12/13/operation-poweroff-27-ddos-mietplattformen-abgeschaltet/
"Auch Verbraucherinnen und Verbraucher, die nicht unmittelbar informiert werden, sollten ihre Geräte überprüfen." Äh, ja, ich mache das, und sicherlich viele technisch affine Leser hier (die blockieren die Geräte gleich von vornherein in der Fritzbox), aber die Mehrheit wüsste ja gar nicht, was sie überprüfen sollten. "Hmm, nee, die Farbe vom Gerät hat sich nicht geändert, wird also wohl nicht betroffen sein…".
Staubsauger und Kühlschränke 24/7 online kommen sicherlich als nächstes…
Jedes Gerät was auf den europäischen Markt kommt, sollte eine einheitliche Produktnummer haben. Das ist in einer Form schon durch die EAN/GTIN vorhanden, aber auch nicht gut/konsequent umgesetzt. Das Vorhandensein der Nummer hilft oft extrem beim Suchen von Artikeln. Bei Software wäre sowas auch möglich.
Es ist total realitätsfern für jedes Produkt wöchentlich/monatliche die News vom Hersteller zu lesen oder gar die Treiber Firmware/zu checken, gerade im privaten Bereich. Teilweise kommt mal 2 Jahre nichts raus. Selbst wenn man sich irgendwo registrieren könnte oder eine automatische Nachricht kommt, eine Stelle mehr wo Daten hinterlegt sind oder was ein Sicherheitsrisiko darstellt.
Wäre halt cool, wenn man einfach die Artikel- oder Softwarenummer irgendwo in eine Liste packt, ein total simples Programm hat und einfach nur periodisch abgefragt wird, ob es für das Produkt News vom BSI, Hersteller oder XY gibt…Ähnliches Problem bei Produktrückrufen, da gibt es auch KEINE Lösung. Für solche Sachen gibt es gar keine Konzepte, OBWOHL Grundvoraussetzungen in dem Fall sogar da wären und es zumindest für den gewerblichen Bereich auch mehr als sinnvoll wäre.
Das kann man eigentlich nur individuell lösen, z.B. mit einem Websitechecker (gibt's Diverse, Freeware und Kommerzielle), der die entsprechenden Seiten periodisch checkt.
Leider kann ich keinen Freien empfehlen (die, die ich testete waren eher meh), auf Android kann man Web Alert¹ probieren (evt. genügt Free schon, die PRO Version² kostet dann schon satte 10 €), aber die GUI ist eher mühsam.
Für Windows schwöre ich auf Aignes WebsiteWatcher³ (aber der kostet 49 €⁴ (Dauerlizenz inkl. 1J Updates)), weil er sehr mächtig ist (insb. die Filterfunktionen, nur den interessanten Teil einer Webseite zu beobachten (vermeidet beständige 'false positives')).
¹ play. google. com/store/apps/details?id=me.webalert
² play. google. com/store/apps/details?id=me.webalert.xp
³ aignes. com
⁴ 66 € als Bundle mit einem ebenfalls guten Webseitenarchiv