{"id":1276,"date":"2024-12-17T14:43:22","date_gmt":"2024-12-17T14:43:22","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1276"},"modified":"2024-12-17T14:43:22","modified_gmt":"2024-12-17T14:43:22","slug":"ratten-malware-greift-kameras-und-dvr-an","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1276","title":{"rendered":"\u201cRatten\u201d-Malware greift Kameras und DVR an"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Digitale Nager machen sich laut FBI vermehrt \u00fcber chinesische Webcams sowie Router her.<\/p>\n<p class=\"imageCredit\">gumiigutt\/shutterstock.com<\/p>\n<\/div>\n<p>Sie geh\u00f6ren sp\u00e4testens seit Corona zum Inventar eines jeden B\u00fcros: <a href=\"https:\/\/www.csoonline.com\/article\/554393\/put-a-password-on-your-webcam-or-end-up-featured-on-shodan-s-vulnerable-cam-feed.html\">Webkameras<\/a>. H\u00e4ufig handelt es sich jedoch nicht um <a href=\"https:\/\/www.pcwelt.de\/article\/1202350\/die-besten-webcams-im-test.html\">hochwertige Ware<\/a>, insbesondere wenn das <a href=\"https:\/\/www.macwelt.de\/article\/985164\/beste-webcams-mac.html\">Ger\u00e4t<\/a> nur sporadisch zum Einsatz kommt. Dann greifen viele Konsumenten gerne zu einem Billigangebot aus Fernost. Doch das verursacht nicht nur regelm\u00e4\u00dfige Hardwareprobleme, sondern kann zu einem veritablen Sicherheitsproblem werden.<\/p>\n<p>Das FBI hat am 17. Dezember davor <a href=\"https:\/\/www.ic3.gov\/CSA\/2024\/241216.pdf\">gewarnt<\/a>, dass neue HiatusRAT-Malware-Angriffe nach anf\u00e4lligen Webkameras und DVRs suchen, die online zug\u00e4nglich sind. Ziel der dahintersteckenden Kriminellen ist es, die Ger\u00e4te zu infizieren und dar\u00fcber zum Beispiel Hintert\u00fcren in Computer einzubauen.<\/p>\n<p>Wie eine am 16. Dezember ver\u00f6ffentlichte Private Industry Notification (PIN) <a href=\"https:\/\/www.ic3.gov\/CSA\/2024\/241216.pdf\">erkl\u00e4rt<\/a>, konzentrieren die Angreifer ihre Angriffe auf spezielle Ger\u00e4te chinesischer Hersteller. Diese weisen vielfach L\u00fccken bei Sicherheits-Patches auf oder haben bereits das Ende ihrer Lebensdauer erreicht.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Die Kameras werden gescannt<\/strong><\/h2>\n<p>Im Vorfeld m\u00f6glicher Attacken f\u00fchrten die HiatusRAT-Akteure bereits im M\u00e4rz 2024 eine breit angelegte Scanning-Kampagne durch. Ziel waren <a href=\"https:\/\/www.csoonline.com\/article\/3495459\/iot-devices-security-herausforderungen-und-losungen.html\">Internet of Things<\/a> (IoT)-Ger\u00e4te in den USA, Australien, Kanada, Neuseeland und dem Vereinigten K\u00f6nigreich, so das FBI.<\/p>\n<p>Die Bedrohungsakteure scannten hierbei Webkameras und DVRs auf Schwachstellen wie<\/p>\n<p>CVE-2017-7921,<\/p>\n<p>CVE-2018-9995,<\/p>\n<p>CVE-2020-25078,<\/p>\n<p>CVE-2021-33044,<\/p>\n<p>CVE-2021-36260 und<\/p>\n<p>schwache, vom Hersteller voreingestellte Passw\u00f6rter.<\/p>\n<p>Besonderer Fokus lag auf Ger\u00e4ten von Hikvision- und Xiongmai, welche \u00fcber einen Telnet-Zugang verf\u00fcgen. Die Kriminellen verwenden dabei das Open-Source-Tool Ingram um bei den Webkameras Schwachstellen aufzusp\u00fcren.\u00a0 Mit Medusa machen sich die Angreifer ein weiteres Open-Source-Tool zu Nutze und hebeln damit die Authentifizierung aus.<\/p>\n<p>Die Angriffe zielten auf Webkameras und DVRs mit den TCP-Ports 23, 26, 554, 2323, 567, 5523, 8080, 9530 und 56575, die f\u00fcr den Internetzugang offen sind.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Zwei Angriffe vor der eigentlichen Attacke<\/strong><\/h2>\n<p>Die Kampagne ist der Nachfolger zweier gro\u00df angelegter Angriffsserien:<\/p>\n<p>eine, deren Ziel ein Server des US-amerikanischen Verteidigungsministeriums im Jahr 2023 war, wie <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-hiatusrat-malware-attacks-target-us-defense-department\/\">Bleeping Computer<\/a> berichtete und<\/p>\n<p>mehr als hundert Unternehmen aus Nordamerika, Europa und S\u00fcdamerika deren DrayTek Vigor VPN-Router mit HiatusRAT infiziert worden waren, um ein verdecktes Proxy-Netzwerk aufzubauen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Einschr\u00e4nken und isolieren<\/strong><\/h2>\n<p>Das FBI r\u00e4t Nutzern daher, die in der PIN genannten Ger\u00e4te nur noch eingeschr\u00e4nkt zu nutzen beziehungsweise sie vom Rest ihres Netzwerks zu isolieren. Nur so lie\u00dfen sich Einbruchs- und Malware-Ausbreitungsversuche nach erfolgreichen HiatusRAT-Angriffen verhindern.<\/p>\n<p>Au\u00dferdem fordert die US-Beh\u00f6rde Systemadministratoren und Cybersicherheitsexperten auf, mutma\u00dfliche Anzeichen einer Kompromittierung (IOC) an das Internet Crime Complaint Center des FBI oder die jeweiligen \u00f6rtlichen FBI-Au\u00dfenstellen zu melden.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Die Ratten werden ins Licht gezerrt<\/strong><\/h2>\n<p>Lumen, ein US-amerikanisches Cybersicherheitsunternehmen, entdeckte HiatusRAT im Sommer 2023 zuerst. Die Experten fanden heraus, dass es sich hierbei um eine Malware handelt, die zus\u00e4tzliche Schadsoftware auf infizierten Ger\u00e4ten installiert. Die so gekaperten Ger\u00e4te werden dann in SOCKS5-Proxys f\u00fcr die Kommunikation mit Command-and-Control-Servern umwandelt.<\/p>\n<p>Die Ziele der Malware stimmen mit Chinas strategischen Interessen hinsichtlich Cyberspionage und Datenklau \u00fcberein. Das zumindest hebt die <a href=\"https:\/\/www.odni.gov\/files\/ODNI\/documents\/assessments\/ATA-2023-Unclassified-Report.pdf\">Bedrohungsanalyse 2023<\/a> der United States Intelligence Community (IC) hervor.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Digitale Nager machen sich laut FBI vermehrt \u00fcber chinesische Webcams sowie Router her. gumiigutt\/shutterstock.com Sie geh\u00f6ren sp\u00e4testens seit Corona zum Inventar eines jeden B\u00fcros: Webkameras. H\u00e4ufig handelt es sich jedoch nicht um hochwertige Ware, insbesondere wenn das Ger\u00e4t nur sporadisch zum Einsatz kommt. Dann greifen viele Konsumenten gerne zu einem Billigangebot aus Fernost. Doch das [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":1277,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1276"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1276"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1276\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1277"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}