Überwachungskameras von Tesla & Co. gehackt: So konnten Angreifer die IT-Sicherheitssysteme umgehen!

von

Lesezeit: Minuten ( Wörter)

Erneut füllte vor kurzem ein größerer Cyberangriff die Schlagzeilen. Diesmal geht es um Verkada, ein US-Unternehmen, das sich auf Live-Video-Kameras spezialisiert hat. Viele bekannte Namen setzen Systeme von Verkada ein, darunter Tesla oder Cloudflare. Es gelang den Angreifern, die IT-Sicherheit komplett zu überwinden und vollen Zugriff auf weite Bereiche des Netzwerks von Verkada zu erhalten. Als Beweis dafür präsentierten die Hacker Journalisten einige Bilder sowie Videoaufnahmen. Außerdem veröffentlichten die Angreifer eine Liste der Unternehmen, die Dienstleistungen von Verkada in Anspruch nehmen. Diese umfasst etwa 24.000 Einträge und beinhaltet auch öffentliche Einrichtungen wie Universitäten, Gefängnisse und Flughäfen.

So gingen die Angreifer bei der Attacke auf Verkada vor

Inzwischen ist einiges über die Vorgehensweise der Cyberkriminellen bekannt. Hinter dem Angriff steckt eine Hackergruppe mit dem Namen APT-69420 Arson Cats. Zu dieser Gruppe gehört auch der Schweizer IT-Spezialist Tillie Kottmann, der sich zu dem Hack bei Verkada äußerte und auch zu dem Angriff bekannte.

Das Interessante an diesem Angriff ist, dass die Hacker sich nicht etwa über Schadsoftware oder Sicherheitslücken in einer Software Zugang zum Netzwerk von Verkada verschafft haben. Vielmehr gab Kottmann zu Protokoll, dass die Gruppe die Zugangsdaten zu einem Super-Administrator-Account von Verkada im Internet gefunden habe. Dieses Konto besaß weitreichende Rechte innerhalb des Netzwerks von Verkada. Mit den Zugangsdaten loggten sich die Angreifer in das System von Verkada ein und hatten, laut eigenen Angaben, Zugang zu rund 150.000 Überwachungskameras. Außerdem stand ihnen das Archiv offen. Hier speichert Verkada die Aufnahmen der Überwachungskameras. Somit hatten die Hacker auch Zugriff auf ältere Videoaufnahmen und Bilder.

Weiterhin haben die Angreifer über Verkada Zugriff auf Netzwerke von Kunden des Unternehmens erhalten, so Tillie Kottmann weiter. Als Beweis postete er einige Screenshots auf seinem Twitter-Account. Diese zeigen, dass die Hacker sich im Netzwerk von Okta und Cloudflare befinden, zwei Kunden von Verkada, und dort Root-Zugriff haben. Angeblich gelang dies über eine Backdoor für die Software-Wartung, die Verkada selbst eingebaut hat.

In diesem Fall hatten die Angreifer jedoch keine kriminellen Motive für das Eindringen in ein fremdes Netzwerk. Laut Kottmann ging es darum, spezifisch zu zeigen, wie tief Überwachungssysteme mittlerweile in unser aller Leben eindringen. In diesem Zusammenhang wies Kottmann auch darauf hin, dass Angestellte von Verkada problemlos Zugriff auf gespeicherte Videos von Kunden sowie auf Live-Bilder beliebiger Überwachungskameras haben. Im Hinblick auf den Datenschutz ist eine solche Handhabe mehr als bedenklich, falls wahr.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Mit diesen Gegenmaßnahmen regierte die IT-Sicherheit von Verkada

Ein weiterer interessanter Punkt ist, dass die IT-Sicherheit von Verkada von den laufenden Cyberangriffen auf ihr Netzwerk und die Daten ihrer Kunden zunächst nichts bemerkte. So wandten sich die Angreifer zunächst an das Finanznachrichtenportal Bloomberg und präsentierten Beweise für den Zugriff auf das interne Netzwerk von Verkada. Daraufhin kontaktierte Bloomberg das Unternehmen und erbat eine Stellungnahme.

Offensichtlich erkannte Verkada erst zu diesem Zeitpunkt die Cyberbedrohungen in ihrem Netzwerk. Laut Tillie Kottmann verloren sie den Zugang zum Netzwerk, kurz nachdem Bloomberg sich bei Verkada meldete. Das Unternehmen selbst kommunizierte öffentlich, dass die eigene IT-Sicherheit das Ausmaß der Cyberattacke untersuche. Aus der Aussage von Tillie Kottmann lässt sich schließen, dass Verkada den infiltrierten Account mit den Super-Administratorrechten identifizierte und umgehend deaktivierte.

Wieso bleiben solche Cyberbedrohungen unentdeckt?

Am Beispiel von Verkada zeigt sich erneut, dass Unternehmen jeglicher Größe und Branche das Opfer von breiten Cyberangriffen sind. Der aktuelle Fall, bei dem eine so große Menge an Daten von Angreifern abgerufen werden konnte, macht außerdem deutlich, dass die IT-Sicherheit von Verkada ganz offensichtlich Lücken bei der Angriffsabwehr solcher Cyberbedrohungen hat.

Ein Grund, warum diese Art von Cyberangriff unentdeckt blieb, liegt in der Angriffsmethode selbst. Die Angreifer haben keinen illegalen Weg benutzt, um in das Netzwerk einzudringen. Vielmehr waren sie direkt im Besitz der Logindaten. Somit handelte es sich für das System um einen regulären Zugriff auf den internen Bereich, der von einem bekannten Account aus ausgeführt wurde. Da die Angreifer auch das Passwort kannten, kam es beim Login nicht zu gescheiterten Versuchen.

Die Cyberattacke auf Verkada zeigt somit Parallelen zu einem Advanced Persistent Threat sowie einer Insiderattacke. Die Angreifer gelangten ohne Auffälligkeiten in das Netzwerk, da sie, wie ein Mitarbeiter auch, über die erforderlichen Zugangsinformationen verfügten. Im Netzwerk angekommen war das Hauptziel der Angreifer, an sensible Informationen zu gelangen und dabei möglichst unauffällig zu agieren. Es fanden also keinerlei Veränderungen an digitalen Daten oder Benutzerkonten statt. Grundsätzlich sind solche Cyberbedrohungen schwer zu erkennen, da die Eindringlinge oberflächlich keine Spuren und auch keine Fehlermeldungen hinterlassen, etwa durch einen fehlerhaften Login.

Fazit

Lassen sich solche Cyberangriffe verhindern?

Die gute Nachricht zuerst: Es ist möglich, solche Cyberangriffe zu identifizieren. Zunächst einmal ist es jedoch wichtig, anzusprechen, dass beim Umgang mit Zugangsdaten zu einem solchen Administrator-Account mit weitreichenden Zugriffsrechten höchste Sicherheitsregeln herrschen müssen. Falls die Angabe von Tillie Kottmann stimmt, dass Benutzername und Passwort offen im Netz zu finden waren, handelt es sich bereits hier um eine eklatante Verletzung von Sicherheitsregeln.

Doch selbst für den Fall, dass interne Zugangsdaten in unbefugte Hände gelangen, gibt es in der IT-Sicherheit Abwehrmöglichkeiten. Mit einem permanenten Threat Hunting- und Incident Response Service wird ein Höchstmaß an Transparenz über die Integrität des Netzwerkes erreicht. Ein solcher Ansatz stellt mittlerweile eine relevante Ergänzung zu bestehenden IT-Sicherheitsmaßnahmen dar und schließt exakt die Lücke in der Verteidigung, die solche Cyberangriffe ermöglicht.

Tipp unserer Experten!

Als eine permanente Threat Hunting- und Incident Response Lösung ist unser Active Cyber Defense Service (ACDS) darauf ausgelegt, ungewöhnliche Vorgänge (Anomalien) im Netzwerk zu identifizieren. Dies berücksichtigt alle innerhalb eines Netzwerks vorhandenen Systeme, also neben Workstations und Servern auch Mobiltelefone, Switches und Netzwerkperipherie sowie Drucker, IoT oder private Geräte, die Mitarbeiter mit dem Firmennetzwerk verbinden.

Teil des ACDS ist ein 24/7 Threat Hunting- und Incident Response Service. Dieser analysiert die Vorgänge im Netzwerk permanent. Gesucht wird nach auffälligen, regelabweichenden Verhaltensmustern. Diese liegen beispielsweise vor, wenn während Cyberangriffen Kommunikationen mit einem Command & Control (C&C) Server stattfinden. Ebenso ist ein Zugriff von einer bislang unbekannten IP-Adresse auf einen Account mit weitreichenden Zugriffsrechten auffällig. Dieses Szenario ist so bei Verkada eingetreten. Unser Active Cyber Defense Service reagiert in diesem Fall mit einer sofortigen Warnung, so dass eine manuelle Kontrolle beziehungsweise ein direktes Eingreifen möglich wird: Kompromittierte Systeme können so zügig isoliert und bereinigt werden.

Die Integration eines solchen Active Cyber Defense Service als zusätzlicher Layer der IT-Sicherheit ist simpel. Eine lokale Installation ist nicht notwendig. ACD führt alle Überprüfungen auf Netzwerkebene durch. Hier erfolgt eine Kontrolle aller Logdaten und Kommunikationen. Erkennt der Active Cyber Defense Service verdächtige Aktionen, erfolgt eine umgehende Alarmierung. Dies erlaubt eine schnelle Reaktion seitens der Verantwortlichen unseres SCO-Teams auf diese Art von Cyberbedrohungen. Cyberangriffe, bei denen Unbefugte Zugriff auf das Netzwerk erlangen, lassen sich auf diese Art und Weise schnell unterbinden. So fügt ein Active Cyber Defense Service der IT-Sicherheit eine weitere Komponente hinzu, die proaktiv Cyberangriffe erkennt. Unternehmen schließen so eine Sicherheitslücke, die von herkömmlichen IT-Sicherheitslösungen Lösungen nicht abgedeckt wird.

Haben Sie schon die richtige Antwort auf solche Angriffe? Wir ja!

Kontaktieren Sie unsere Experten!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück