Im Visier der Angreifer: WLAN-Router und Access Points

Die Zahl und die Vielfalt der vernetzten Geräte in Unternehmen nehmen konstant zu – unabhängig von der Branche. Damit einher gehen neue Herausforderungen in Bezug auf die Sicherheit. Denn es gilt die Risiken, die sich durch den Einsatz dieser Geräte ergeben, zu erkennen und entsprechend zu handeln.

Unternehmen müssen sich bewusst sein, dass der Einsatz vernetzter Geräte nicht nur Vorteile mit sich bringt. Zu klassischen IT-Infrastrukturen kommen inzwischen zahlreiche IoT (Internet-of-Things)- und OT (Operational Technology)-Bereiche hinzu – IoMT (Internet of Medical Things) im Gesundheitswesen nicht zu vergessen. Entsprechend verbreitert sich die Angriffsfläche massiv. Und dennoch sind die „traditionellen“ IT-Bausteine nach wie vor besonders attraktiv für Cyberkriminelle und das Haupteintrittstor für Malware sowie Ransomware.

Eine 2022 veröffentlichte Analyse zeigt, dass vor allem von Routern und WLAN-Access-Points ein offensichtliches Risiko ausgeht. Sie entwickeln sich im Zuge von Malware- und APT-Attacken zu den am häufigsten adressierten IT-Komponenten.

Zuletzt kam beispielsweise ein neuer Modus Operandi eines Trojaners mit dem Namen ZuoRAT ans Licht, der fast zwei Jahre lang unbemerkt blieb. Die Angriffskampagne ist äußerst raffiniert angelegt und zielt in erster Linie auf Router in kleinen Büros oder an Heimarbeitsplätzen ab, wobei der Router als Einstiegspunkt dient. Was genau passiert dabei?

• Zunächst wird eine kompilierte MIPS-Datei an die Router gesendet. Bei dieser Datei handelt es sich um eine Malware namens ZuoRAT, die Informationen über Geräte und das LAN sammeln soll, die nach der Infektion des Computers dem weiteren Zugang dienen.
• Nach der Installation verortet die Malware sämtliche Hosts sowie das interne LAN. Unter Umständen werden über das kompromittierte Gerät übertragene Netzwerkpakete abfangen. Auch Man-in-the-Middle-Angriffe – wie beispielsweise DNS- und HTTP-Hijacking – auf Basis eines vordefinierten Regelwerks sind möglich. Beim Hijacking-Vorgang werden dann über das betroffene Gerät Shellcode-Loader auf Rechnern im lokalen Netzwerk installiert.
• Im nächsten Schritt geht der Angriff vom Router zu den Arbeitsstationen im Netzwerk über. Auf diesen wird ein Windows-Loader installiert, der das Herunterladen und Ausführen eines von drei Trojanern anstößt: CBeacon, GoBeacon oder CobaltStrike.

ZuoRAT hat es vor allem auf US-amerikanische und europäische Organisationen abgesehen. Über einen Zeitraum von neun Monaten wurden mindestens 80 Ziele angegriffen. Allerdings liegt die Vermutung nahe, dass viele weitere betroffen waren.

Bedrohungen wie diese lassen sich nur durch den Einsatz gut konfigurierter und aktueller Lösungen zur Angriffserkennung eindämmen.

Undurchdringliche WLAN-Strukturen und ein sicheres Unternehmensnetz

Durch die Zunahme von Homeoffice und hybridem Arbeiten hat sich die Art und Weise, wie sich Mitarbeiter mit dem Internet verbinden, verändert. Dies erschwert das Risikomanagement für IT-Manager. Statt über das abgesicherte Netzwerk innerhalb der Unternehmenssphäre erfolgt der Internet-Zugriff nun häufiger über ein nicht selten ungeschütztes Heimnetzwerk.

Daraus ergeben neue Security-Anforderungen, die durch die Integration von sicheren Access Points inklusive Software zur Verwaltung und Überwachung von WLAN-Netzwerken erfüllt werden können – bei gleichzeitig verbesserter Konnektivität. Entsprechende Lösungen bieten nicht nur umfassende und praktische Wireless-Funktionen, sondern sorgen auch für eine sichere Verschlüsselung, die in den heutigen Arbeitsumgebungen unverzichtbar ist. Der wichtigste Vorteil ist jedoch die hohe Transparenz. Durch einschlägige Monitoring- und Reporting-Möglichkeiten können IT-Administratoren die WLAN-Prozesse und Performance der Access Points gezielt überwachen. Sie erhalten nicht nur Einblicke zur Leistung, sondern – viel wichtiger – auch Informationen zur Sicherheit der einzelnen Komponenten. Es wird einfacher, mit Updates Schritt zu halten und potenzielle Schwachstellen zu vermeiden.

Kombiniert mit einer Firewall schützt eine solche Lösung Anwender vor raffinierten Angriffen wie ZuoRAT. Sie verhindert, dass Malware, die sich im verschlüsselten Datenverkehr versteckt, auf das Unternehmensnetzwerk zugreift. Beim australischen Unternehmen Akubra, das sich der Fertigung und dem Vertrieb von Hüten verschrieben hat, steht die Sinnhaftigkeit dieser Sicherheitsstrategie außer Frage. Auf diese Weise konnte die Zahl der Bedrohungen, die es auf die Server des Unternehmens abgesehen hatten, deutlich reduziert werden. Die Lösungen von WatchGuard haben das IT-Team von Akubra in die Lage versetzt, stets die richtigen Entscheidungen zu treffen und ein optimales Sicherheitsniveau zu gewährleisten – die Folge: höhere Produktivität und mehr Mitarbeiterzufriedenheit.

Wie der Fall Akubra zeigt, führt der Einsatz der richtigen Sicherheitslösungen dazu, dass sich Unternehmen im Tagesgeschäft weniger Kraft aufbringen müssen, um den Schutz der Unternehmensstrukturen zu gewährleisten. Sie können stattdessen ihr Augenmerk auf andere Bereiche legen, um die Wertschöpfung zu steigern. Ein Internetzugang ist heutzutage obligatorisch und insofern sollten Unternehmen die Augen nach einem Security-Anbieter aufhalten, der mit passgenauen, modernen Produkten die Strategien zur Absicherung zielführend unterstützt.

Autor: Paul Moll

Quelle: WatchGuard-Blog