Das FBI hat eine dringende Warnung vor einer neuen Angriffswelle der HiatusRAT-Malware herausgegeben, die sich gezielt gegen internetfähige Überwachungskameras und digitale Videorekorder (DVR) richtet. Diese Entwicklung markiert eine signifikante Ausweitung der Bedrohungslandschaft für IoT-Geräte im Enterprise- und Privatsektor.
Entwicklung und Funktionsweise von HiatusRAT
Die 2023 von Lumen-Forschern erstmals identifizierte Malware hatte ursprünglich DrayTek Vigor Router im Visier. HiatusRAT zeichnet sich durch zwei Hauptfunktionen aus: die Installation zusätzlicher Schadprogramme und die Einrichtung von SOCKS5-Proxy-Servern auf kompromittierten Geräten zur Steuerung des Command-and-Control-Verkehrs.
Aktuelle Angriffskampagne und Zielgeräte
Im März 2024 starteten die Angreifer eine großangelegte Scanning-Kampagne in den Five Eyes-Ländern (USA, Australien, Kanada, Neuseeland und Großbritannien). Besonders gefährdet sind Geräte der chinesischen Hersteller Hikvision und Xiongmai, vor allem solche mit aktiviertem Telnet-Zugang.
Kritische Schwachstellen im Fokus
Die Angreifer nutzen mehrere bekannte Sicherheitslücken aus, darunter CVE-2017-7921, CVE-2018-9995 und CVE-2021-36260. Besonders problematisch ist die Schwachstelle CVE-2018-9995, die zahlreiche Marken wie CeNova, Night OWL und QSee betrifft, die auf TBK-Technologie basieren.
Technische Details der Angriffe
Die Cyberkriminellen verwenden öffentlich verfügbare Tools wie Ingram zur Schwachstellenerkennung und Medusa für Brute-Force-Angriffe. Im Fokus stehen Geräte mit offenen TCP-Ports 23, 26, 554, 2323, 567, 5523, 8080, 9530 und 56575.
Zur Absicherung gegen HiatusRAT-Angriffe empfehlen Sicherheitsexperten eine mehrstufige Verteidigungsstrategie: Isolation gefährdeter Geräte, regelmäßige Firmware-Updates und die Implementierung komplexer Passwörter. Besonders wichtig sind die Netzwerksegmentierung und die strikte Kontrolle des Internet-Zugriffs auf IoT-Geräte. Diese Maßnahmen reduzieren das Risiko erfolgreicher Kompromittierungen und verhindern die laterale Bewegung von Angreifern im Netzwerk erheblich.
