Sophos: Fünf Millionen Angriffe auf zehn Cloud-Server Honeypots

Sophos: Fünf Millionen Angriffe auf zehn Cloud-Server Honeypots

Im Durchschnitt gab es 13 Angriffsversuche pro Minute pro Honeypot – allein Frankfurt wurde 440.000-mal attackiert.

Sie ist ein elementarer Bestandteil moderner IT, ermöglicht ortsunabhängigen Datenzugriff, steigert Kosteneffizienz, vereinfacht Geschäftsprozesse und vieles mehr: Weltweit speichern immer mehr Unternehmen und Endverbraucher ihre Daten in die Cloud. Sie wirksam vor dem Zugriff von Cyberkriminellen zu schützen ist daher ein elementares Anliegen für die IT-Security. Unser Technologiepartner Sophos wollte wissen, wie sehr Cloud-Server potenziellen Hackerangriffen ausgesetzt sind und hat dieses im Rahmen einer 30-tägigen Studie „Exposed: Cyberattacks on Cloud Honeypots“ anhand von zehn Honeypots untersucht. Hierfür wurden in zehn der weltweit beliebtesten Amazon Web Services (AWS) Datenzentren in Frankfurt, London, Paris, Mumbai, Ohio, Sao Paolo, Singapur, Sidney Kalifornien und Irland Cloud-Honeypots eingerichtet.

 

Simulation von Fernzugriff – die Honeypots

Die eingerichteten Honeypots simulierten den Secure Shell (SSH) -Dienst, um SSH-Anmeldeversuche zu messen. SSH ist ein Fernzugriffsdienst, der nicht nur von Servern verwendet wird, sondern auch in häuslichen Umgebungen mit so unterschiedlichen Geräten wie CCTV-Kameras oder NAS-Geräten genutzt wird. Auf diesen Systemen können berechtigte Benutzer über SSH eine Verbindung herstellen, um das Gerät aus der Ferne zu konfigurieren oder auf Dateien zuzugreifen. Wenn ein Angreifer die Anmeldeaufforderung auf einem IoT-Gerät hinter sich gelassen hat, erhält er nicht nur die gleichen Zugriffsrechte wie der Besitzer, sondern erlangt häufig sogar mehr Kontrolle als er eigentlich beabsichtigt hatte.. Ähnlich wie dies auch bei realen Installationen immer noch sehr oft der Fall ist, haben die Sophos-Experten auch bei der Konfiguration der Honeypots dabei werkseitig vorinstallierte Standardbenutzernamen und -kennwörter beibehalten.

 

10 Honeypots, 30 Tage, über 5.000.000 versuchte Angriffe

Die Untersuchung zeigt klar, dass Geräte, die nicht die erforderliche Konfiguration erhalten haben (einschließlich der Änderung von werkseitig installierten Standardkennwörtern auf vielen Geräten), einem Hacker einen relativ einfachen Zugriff auf diese Geräte gestatten. Während des 30-tägigen Testzeitraums wurden so insgesamt mehr als fünf Millionen Angriffsversuche auf das globale Honeypot-Netz gezählt. Am häufigsten traf es dabei Ohio mit rund 950.000 Versuchen, gefolgt von Mumbai, Sidney, Irland und Paris mit Angriffsraten zwischen knapp 680.000 und 613.000 und Kalifornien mit ca. 573.000 Versuchen. Frankfurt verzeichnete knapp 440.00 Angriffsversuche und London und Singapur kamen mit „nur“ rund 314.000 bzw. 313.000 Attacken davon.

 

Schnelle Angriffsversuche, schwache Passwörter

Erstaunlich war auch die Schnelligkeit, mit der die Hacker ihre potenziellen Ziele ausmachten und erste Angriffe starteten. So wurde bereits 52 Sekunden nach Freischaltung der Honeypot in Sao Paolo, Brasilien attackiert. Paris und Sydney waren bei der Erst-Attacke 17 bzw. 18 Minuten am Netz, Frankfurt ereilte es nach einer guten Stunde und in Irland dauerte es mit gut 100 Minuten am längsten, bis ein erster Angriffsversuch erfolgte. Weltweit waren die Honeypot-Cloud-Server durchschnittlich jeweils 13 Mal pro Minute, bzw. 757 Mal in der Stunde das Ziel versuchter Attacken. Darauf, dass Werkskonfigurationen eben nicht geändert werden, spekulieren dabei offenbar auch die Hacker – sie verwendeten bei den meisten Anmeldeversuchen Standard-Benutzernamen und beliebte, häufig verwendete schwache Kennwörter. Die Zahlenreihe 123456 wurde etwa weltweit am häufigsten als Kennwort für einen Anmeldeversuch benutzt.

 

Der Standard muss mehr als Standard sein

Sophos gibt im Report Empfehlungen, um eine bessere Sicherheit zu gewährleisten und die automatisierten Angriffsversuche der Cyberkriminellen zu durchbrechen. „Die Geschwindigkeit und das Ausmaß der Angriffe zeigen einmal mehr, wie beharrlich und entschieden Cyberkriminelle sind, um Cloud-Plattformen anzugreifen,“ sagt Michael Veit, Security-Evangelist bei Sophos. „Unsere wichtigste Empfehlung ist daher immer eine starke Authentisierung per Zertifikat bzw. per Multifaktor-Authentisierung und zeitbasiertem Einmalkennwort. Die Cloud ist ein elementarer Bestandteil des modernen IT-Alltags und daraus nicht mehr wegzudenken. Der einzige zugelassene Standard darf deshalb die Sorgfalt bei der Konfiguration und eine schlagkräftige IT-Sicherheitsstrategie sein.“

 

Haben Sie noch Fragen zu unserem Technologiepartner Sophos? Kontaktieren Sie uns einfach!

 

Dieser Blogeintrag beruht in Teilen auf einer Pressemeldung unseres Technologiepartners Sophos: https://www.pressebox.de/pressemitteilung/sophos-gmbh/Sophos-setzt-weltweit-10-Cloud-Server-Honeypots-auf-Ueber-5-Millionen-Angriffe-in-30-Tagen/boxid/951680

Ihr Ansprechpartner bei VINTIN

Michael Grimm

Mitglied der Geschäftsleitung

+49 (0)9721 675 94 10

kontakt@vintin.de

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.


Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.