Viele von Ihnen werden sich an die KNXlock-Angriffskampagne erinnern, die von Limes Security in den Jahren 2022 und 2023 aufgedeckt und gemeldet wurde. Bei dieser Kampagne nutzten die Angreifer OT-spezifische Funktionen des Gebäudeautomatisierungsstandards KNX aus. Betroffene, deren KNX-Gebäudeautomation im Internet offengelegt wurde, konnten nicht mehr auf ihre intelligenten Gebäudefunktionen zugreifen. Um wieder Zugang zu erhalten, mussten sie oft ihre Systeme aufbrechen und ersetzen. Details zur ursprünglichen Angriffskampagne, die bis 2023 andauerte, finden Sie hier.
Aktueller Status per Januar 2024: Die Angriffskampagne dauert überraschenderweise immer noch an, denn wir erhalten weiterhin Anfragen – sowohl von privaten Hausbesitzern als auch von gewerblichen Gebäudebetreibern. Die Angriffskampagne hat sich aber in letzter Zeit verändert:
Bei der jüngsten Welle von Cyber-Angriffen auf KNX-Geräte wenden die Angreifer eine neue Taktik an, nachdem ein KNX-System erfolgreich kompromittiert wurde. Die Angreifer setzen willkürlich Schlüssel und fügen nun Meldungen wie „system hacked bcu key xx1234xx“ hinzu.
Dies erinnert auch ein wenig an die kompromittierten Geräte, die auf Shodan gefunden wurden. Dort benutzten Grey-Hat Hacker Standardkennwörter, um sich einzuloggen. Anschließend änderten sie den Hostnamen in „gehackter Router mit Standardkennwort“, um den Besitzer des Geräts darauf aufmerksam zu machen, dass etwas nicht stimmt. Zum jetzigen Zeitpunkt ist nicht bekannt, ob derselbe Akteur, der die KNXlock-Kampagne gestartet hat, diese neue Taktik anwendet oder ob es sich um einen anderen Akteur handelt, der die bekannte Sicherheitslücke mit veränderter Maßnahme ausnutzt. Es sind auch weiterhin keine Lösegeldforderungen bekannt geworden.
Unabhängig davon, wer diese neue Taktik anwendet, hat unser Research-Team ein spezielles Tool entwickelt, das bei der Wiederherstellung eines kompromittierten KNX Gerätes unterstützt. Wir empfehlen betroffenen Anwendern/Besitzern eines kompromittierten KNX Systems, die eine ähnliche Meldung wie „system hacked bcu key xx1234xx.“ erhalten haben, den KNXunlocker herunterzuladen. Durch einen reduzierten Schlüsselraum ist das Erraten des korrekten BCU-Schlüssels und damit die Wiederherstellung innerhalb weniger Stunden mit einem normalen PC möglich. Wir hoffen, dass Betroffene damit eine Möglichkeit erhalten, sich wieder Zugang zum eigenen System zu verschaffen.
