BadBox: BSI warnt vor Malware auf IoT-Geräten

Publiziert am 14. Dezember 2024 von Günter Born

Stop - PixabayIoT-Geräte im Privatumfeld wie digitale Bilderrahmen oder Mediaplayer, die mit dem Internet verbunden werden, können mit Schadsoftware infiziert werden und sind daher immer häufiger Ziel von Cyberkriminellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Aktion die Kommunikation zwischen der Schadsoftware BadBox und den Cyberkriminellen auf bis zu 30.000 solcher Geräte in Deutschland unterbunden

Anzeige

Risiko infizierte IoT-Geräte

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies in einer Pressemitteilung auf vorinstallierte Schadsoftware auf IoT-Geräten hin. Beispiele für solche IoT-Geräte im Privatumfeld können digitale Bilderrahmen oder Mediaplayer sein, die mit dem Internet verbunden werden. Derartige Geräte können mit Schadsoftware infiziert werden und sind daher immer häufiger Ziel von Cyberkriminellen. Manche Geräte werden bereits mit Schadsoftware ausgeliefert.

Die BadBox-Malware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist auf eine Schadsoftware namens BadBox gestoßen, die auf solchen IoT-Geräten vorinstalliert war. Allen Geräten war gemein, dass sie mit veralteten Android-Versionen betrieben werden und mit vorinstallierter Schadsoftware ausgeliefert wurden.

BadBox: Malware auf IoT-Geräten

Obiger Tweet und der Artikel BSI weist auf vorinstallierte Schadsoftware auf IoT-Geräten hin greifen das Thema ebenfalls auf.

Anzeige
  • BadBox ist in der Lage, unbemerkt Accounts für E-Mail- und Messenger-Dienste zu erstellen, über die anschließend Fake-News verbreitet werden können. Weiterhin kann
  • BadBox Werbebetrug (Ad-Fraud) durchführen, indem es im Hintergrund Webseiten ansteuert.
  • Darüber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzerinnen und Nutzer unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden.
  • Darüber hinaus kann BadBox weitere Schadsoftware nachladen.

Also eine vielseitige Malware mit umfangreichen Funktionen, die auf bis zu 30.000 solcher IoT-Geräte in Deutschland vorhanden war und mit den entsprechenden C&C-Servern kommunizierte.

Operation BadBox zur Abschaltung

Das BSI leitet derzeit – im Rahmen einer Sinkholing-Maßnahme (siehe auch) nach § 7c BSI-Gesetz (BSIG) – die Kommunikation betroffener Geräte mit den Kontrollservern der Täter um. Dies betrifft Provider, die über 100.000 Kundinnen und Kunden haben. Für diese Geräte besteht keine akute Gefahr mehr, solange das BSI die Sinkholing-Maßnahme aufrechterhält.

Grundsätzlich besteht aber für alle IT-Produkte mit veralteten Firmware-Versionen das Risiko, dass sie für Schadsoftware anfällig sind. Dies betrifft somit neben den bei der BSI-Maßnahme auffällig gewordenen Bilderrahmen und Mediaplayern auch zahlreiche weitere Produktklassen. Internationale Berichte legen nahe, dass auch Smartphones und Tablets zu infizierten Geräten gehören können. Das BSI geht daher von einer sehr hohen Dunkelziffer aus und ruft dazu auf, entsprechende Geräte vom Internet zu trennen oder nicht weiter zu benutzen.

Verbraucherinnen und Verbraucher, deren Geräte als infiziert identifiziert werden können, werden anhand ihrer IP-Adresse in der Regel von ihren Telekommunikationsanbietern über den Verdacht einer bestehenden Schadsoftware-Infektion in ihrem Netzwerk informiert. Der genaue Inhalt dieser Information kann sich je nach Provider unterscheiden.

Da es sich im konkreten Fall um oftmals baugleiche Produkte handelt, die jedoch unter unterschiedlichen Namen und Bezeichnungen vertrieben werden, kann durch das BSI keine Produktnennung erfolgen. Das BSI bittet jedoch darum, diese Informationen ernst zu nehmen und alle internetfähigen Produkte im jeweiligen Netzwerk zu überprüfen.

Ein betroffenes Gerät sollte umgehend vom Internet getrennt werden. Auch Verbraucherinnen und Verbraucher, die nicht unmittelbar informiert werden, sollten ihre Geräte überprüfen.

Viele Fragen rund um das Thema Sinkholing und die Informationen durch die Provider beantwortet das BSI hier: Fragen und Antworten zu Botnetzen.

Das BSI empfiehlt zudem, vor dem Kauf entsprechender Produkte, die Sicherheitseigenschaften des Geräts zu überprüfen. Empfehlenswert ist ein offizieller Hersteller-Support, eine aktuelle Version des jeweiligen Betriebssystems oder ein Blick auf die Seriosität des Herstellers. Weitere Tipps dazu hält das BSI unter Smarthome – den Wohnraum sicher vernetzen bereit.

Anzeige
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu BadBox: BSI warnt vor Malware auf IoT-Geräten

  1. Nobody Private sagt:
    14. Dezember 2024 um 22:46 Uhr

    Der Hinweis vom BSI ist toll. Das „verseuchte" Gerät meldet sich ja mit „Hier bin ich" auf Nachfrage. Der Provider schickt ne nette snail-Mail Nachricht dass eines der Geräte „böse" ist und dann darf man suchen. Gut wen man weiß was.

    Antworten
    • Micha sagt:
      14. Dezember 2024 um 23:11 Uhr

      Richtig. Wie soll Max Mustermann zuordnen, um welches Gerät es sich handelt?

      Kommt auf Anfrage das BSI mit einem Mitarbeiter vorbei und hilft bei der Suche nach dem Gerät.

      Was passiert, wenn er das betreffende Gerät nicht außer Betrieb nimmt, da es ohne nennenswerte Probleme "funktioniert".

      z.B. Das Internetradio spielt weiterhin ohne Aussetzer die eingespeicherten Sender.

      Wer haftet für eine Nachbesserung der Sache, wenn sich das Gerät noch in den ersten 6 Monaten nach dem Kauf befindet?

      Wer überprüft ob das Austauschgerät die Identische Schadsoftware vorinstalliert hat?

      Antworten
      • Bernd B. sagt:
        15. Dezember 2024 um 12:01 Uhr

        "Was passiert, wenn er das betreffende Gerät nicht außer Betrieb nimmt"
        1) Der ISP könnte schlicht den Anschluss lahmlegen, allen Verkehr (ausser Webtraffic -> Umleitung auf Hinweisseite) blockieren.
        Andernorts wird das gemacht und erst auf Nachweis der Säuberung wieder freigeschaltet. So hat auch der gemeine Benutzer einen Anreiz, schnell etwas zu tun (muss halt idR einen Fachmann beauftragen).

        "Wer überprüft ob das Austauschgerät die Identische Schadsoftware vorinstalliert hat?"
        Der vorgenannte Fachmann. Irrt er oder spart der Benutzer diese Prüfung und hat Pech, dann weiter bei 1).

        Antworten
  2. Anonymous sagt:
    14. Dezember 2024 um 22:49 Uhr

    Ich dachte, gerade IoT-Geräte bei denen man nicht mehr wirklich der Eigner ist) würden gerne für DDoS eingesetzt. Da gibt es bestimmt Überlappungen zum anderen Thema…:
    https://www.borncity.com/blog/2024/12/13/operation-poweroff-27-ddos-mietplattformen-abgeschaltet/

    "Auch Verbraucherinnen und Verbraucher, die nicht unmittelbar informiert werden, sollten ihre Geräte überprüfen." Äh, ja, ich mache das, und sicherlich viele technisch affine Leser hier (die blockieren die Geräte gleich von vornherein in der Fritzbox), aber die Mehrheit wüsste ja gar nicht, was sie überprüfen sollten. "Hmm, nee, die Farbe vom Gerät hat sich nicht geändert, wird also wohl nicht betroffen sein…".

    Staubsauger und Kühlschränke 24/7 online kommen sicherlich als nächstes…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.