Botnetz

Universität wurde von eigenen Getränkeautomaten angegriffen

Das Netzwerk einer Universität wurde von einem Botnet lahmgelegt, das aus 5.000 Geräten am Unicampus bestand – von Getränkeautomaten bis zu Lampen.

Dieser Artikel ist älter als ein Jahr!

Verizon RISK (Research, Investigations, Solutions and Knowledge) hat als Vorschau für seinen 2017 Data Breach Digest Scenario einen Vorfall geschildert, indem das Netzwerk einer Universität von seinen eigenen Internet-of-Things-Geräten lahmgelegt wurde.

Studenten beklagten sich über eine langsame Internetverbindung. Nachdem der Helpdesk der Universität die Beschwerden vorerst ignorierte, wurde schließlich doch das IT-Security-Team der Universität kontaktiert. Ein erfahrener Mitarbeiter stellte schnell fest, dass die Name Server des Netzwerks ungewöhnliche viele Anfragen zu Meeresfrüchte-Domains erhielten.

Schließlich kontaktierte der Mitarbeiter das RISK Team des Internetproviders Verizon. Dieses analysierte die Log-Files der Firewall und fand so heraus, dass über 5.000 Systeme alle 15 Minuten hunderte Anfragen an die Name Server schickten. Dadurch wurden diese überlastet, weshalb die Studenten viele Websites nicht mehr erreichen konnten.

Getränkeautomaten

Nahezu alle der angreifenden Geräte waren Teil des Universitäts-Netzwerks. Es waren Internet-of-Things-Geräte, die zur leichteren Verwaltung des Campus im Netzwerk integriert waren. Dazu gehörten etwa auch Getränkeautomaten und Lampen.

Die Geräte waren durch eine Malware befallen, die sie zu Teilen eines Botnetz machte. Die Malware sprang von Gerät zu Gerät. Wurde das Passwort mit Brute Force geknackt, wurde es geändert und der Control Server des Botnetzes kontaktiert, um Befehle zu erhalten.

Da es keine Option war über 5.000 Geräte am Campus auszutauschen, musste eine andere Lösung gefunden werden, um wieder die Kontrolle über die Getränkeautomaten, Beleuchtungen und anderen IoT-Geräte zu erhalten. Da die Passwörter zwischen den infizierten Geräten und Control Server unverschlüsselt übertragen wurden, konnten sie ausgelesen werden. Mit den so erhaltenen Passwörtern und einem Script wurden die Passwörter auf den infizierten Geräten geändert, um den Control Server auszusperren. Schließlich konnte die Malware entfernt werden.

Der Mitarbeiter des Universitäts-IT-Security-Teams, der den Vorfall in diesem PDF schildert, zieht Bilanz und gibt folgende Empfehlungen ab. Es sollten eigene Netzwerk-Zonen für IoT-Geräte erstellt werden, die möglichst getrennt von kritischen Netzwerken sind. Man sollte die Standard-Passwörter der IoT-Geräte sofort gegen starke Passwörter austauschen und nicht dasselbe Passwort für alle Geräte verwenden.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 14.02.2017, 10:40 Uhr

Kommentare