Cyberakteure aus dem chinesischen Umfeld nutzen verstärkt Verschleierungsnetzwerke auf Basis kompromittierter Router und IoT-Geräte. Darüber informieren das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesnachrichtendienst (BND), das Bundesamt für Verfassungsschutz (BfV) und internationale Partnerbehörden in einem gemeinsamen Sicherheitshinweis. Das englischsprachige Dokument ist unter der Federführung des britischen National Cyber Security Centre (NCSC-UK) entstanden. Es beschreibt den typischen Aufbau solcher Netze, die Nutzungsszenarien der Hacker sowie präventive Maßnahmen für Unternehmen, Organisationen, Verbraucherinnen und Verbraucher.
Die Sicherheitsbehörden heben hervor, dass die mit China in Verbindung stehenden Akteure ihre Techniken, Taktiken und Vorgehensweisen (engl. TTP) beim Aufbau von Verschleierungsnetzwerken in den letzten Jahren umfassend verändert haben. Anstatt Infrastruktur anzumieten oder selbst zu betreiben, nutzen sie in großem Stil kompromittierte Geräte. Primär sind das sogenannte „Small Office Home Office“ (SOHO)-Router. Diese werden typischerweise in Privathaushalten oder kleinen Unternehmen genutzt. Betroffen sind auch andere IoT- und Smart-Home-Geräte wie etwa Kameras.
Zahlreiche Knotenpunkte verschleiern Ursprung
Verschleierungsnetzwerke eignen sich für die Vorbereitung und Durchführung von Cyberangriffen. Die kompromittierten Geräte bilden die Knotenpunkte. Sie leiten den Datenverkehr zwischen den Angreifern und ihren Zielen über mehrere Stationen um. Da typischerweise mindestens drei Knotenpunkte hintereinander geschaltet werden, lässt sich der Ursprung nur sehr schwierig nachverfolgen. Dadurch bleibt der Angreifer anonym, seine Motive werden verschleiert.
Präventive Maßnahmen
Gegen die Kompromittierung solcher Geräte in Privathaushalten wie Büros hilft die Einhaltung grundlegender Sicherheitsmaßnahmen wie das regelmäßige Aktualisieren der Firmware. Um sich gegen Angriffe über Verschleierungsnetzwerke zu schützen, sollten aus dem Internet erreichbare Dienste mit einer Multi-Faktor-Authentisierung versehen werden. Die Einbindung von Bedrohungs-Feeds liefert professionellen Firewalls unter Anderem dynamische Indikatoren solcher Verschleierungsnetzwerke. Der Sicherheitshinweis beschreibt darüber hinaus weitere zielgruppenabhängige Maßnahmen.