Der für Staubsauger- und Rasenmähroboter bekannte Hersteller Ecovacs ist offenbar Opfer eines IT-Einbruchs geworden. Die kriminelle Online-Bande Space Bears behauptet, dort umfangreich Daten abgesaugt zu haben, und droht deren Veröffentlichung an.

Bislang ist lediglich der Eintrag im Darknet-Auftritt der Ransomware-Bande Space Bears aufgetaucht. Demnach haben die Täter circa zwei Terabyte an Daten gestohlen. Welcher Art diese Daten sind, erklären sie jedoch nicht.

Es könnte sich um Daten aus der Entwicklung handeln. Potenziell sind aber auch sensible Kundeninformationen betroffen – die Haushaltsroboter erstellen in der Regel Karten von Räumen oder Gärten, um sich darin kontrolliert zu bewegen.

Unterschiedliche Roboterarten

Der chinesische Hersteller hat mehrere populäre Geräteklassen im Portfolio, die recht weite Verbreitung gefunden haben. Die Deebot-Staubsauger- und Wischroboter etwa, oder die Winbot-Fensterputzautomaten sowie die Mähroboter der Goat-Reihe sind populär und verkaufen sich etwa auf Amazon teils tausendfach jeden Monat.

Eine Anfrage von heise online hat Ecovacs nicht umgehend beantworten können, eine Bestätigung des IT-Vorfalls steht daher noch aus. Wir liefern Herstellerinformationen hier nach, sofern wir sie erhalten.

Die Cybergang Space Bears behauptete bereits Ende des Jahres 2024 beim französischen IT-Sicherheits- und Cloud-Dienstleister Atos Daten nach einem Einbruch kopiert zu haben. Das Unternehmen konnte bis Silvester 2024 keine Belege für eine Kompromittierung oder Ransomware auf etwaigen Atos- oder Eviden-Systemen finden. Drei weitere Tage später legte Atos nach und schrieb, dass die Behauptungen von Space Bears unbegründet seien und dass der Hersteller nicht kompromittiert worden sei. Es ist daher gut möglich, dass Space Bears auch dieses Mal nur bluffen.

(dmk)

Admins, die Cisco Catalyst SD-WAN Manager oder cPanel mit LiteSpeed-Plug-in verwalten, sollten aufgrund von laufenden Angriffen umgehend die verfügbaren Sicherheitsupdates installieren. Im schlimmsten Fall können Angreifer als root-Nutzer auf Systeme zugreifen. Damit das klappt, müssen sie aber zuerst einige Hürden überwinden.

Vor den Attacken warnt neben den Softwareanbietern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) auf ihrer Website. Sie stufen das Risiko der Angriffe als erhebliches Risiko für die Bundesbehörden ein. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt.

Die Gefahren

Aus einer Warnmeldung von Cisco geht hervor, dass die ausgenutzte Sicherheitslücke (CVE-2026-20262 „mittel“) im Web-UI von Catalyst SD-WAN Manager steckt. Weil beim Uploadprozess Nutzereingaben nicht ausreichend geprüft werden, setzen Angreifer dort mit präparierten HTTP-Anfragen an. Darüber überschreiben sie Systemdateien und können sich so Cisco zufolge root-Rechte verschaffen. In so einem Zustand gelten Systeme in der Regel als vollständig kompromittiert. Die Entwickler geben an, dass Catalyst SD-WAN Manager in allen Konfigurationen angreifbar ist.

Damit Angreifer aber überhaupt an dieser Schwachstelle ansetzen können, müssen sie über gültige Zugangsdaten und mindestens über Schreibzugriff verfügen. Die Entwickler versichern, das Sicherheitsproblem in den Ausgaben 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 gelöst zu haben.

Die Entwickler vom LiteSpeed-Plug-in schreiben in einem Beitrag, dass die Schwachstelle (CVE-202654420) mit dem Bedrohungsgrad „hoch“ eingestuft ist. Haben Angreifer FTP- oder Web-Shell-Zugriff, können sie sich zum Rootnutzer hochstufen. Das WHM-Plug-in sei davon nicht betroffen. Die Entwickler geben an, die Lücke in v2.4.8 geschlossen zu haben.

Cisco hatte erst vor wenigen Tagen vor einer weiteren attackierten Sicherheitslücke in SD-WAN gewarnt.

(des)

Chinesische Angreifer sind mit viel Geduld in die IT nordamerikanischer Einrichtungen eingedrungen und haben dort umfangreich spioniert. Das berichtet Googles Threat Intelligence Group (GTIG). Betroffen sind demnach Forschungseinrichtungen, Militär, Behörden und andere Organisationen in Kanada sowie den USA. Spätestens im September 2023 drangen die Angreifer in Redcap-Server ein; dies sind Electronic Data Capture Server, die für die Sammlung wissenschaftlicher Daten, insbesondere bei klinischen Studien, genutzt werden.

Weil solche Studien lange laufen können, erlaubt Redcap den parallelen Betrieb auch älterer Softwareversionen. Dabei können Sicherheitslücken offen bleiben, nach denen die als UNC6508 bezeichneten Angreifer suchen. In einem konkreten Fall den die GTIG beschreibt, haben die Täter nach ihrem Eindringen drei Monate zugewartet, bevor sie Malware namens Infinitered installiert haben.

Infinitered sammelt Zugangsdaten, öffnet eine Hintertür für spätere Zugriffe auf das System, und infiziert drei Redcap-Systemmodule; Letzteres stellt sicher, dass Inifinitered bei jedem Update der Serversoftware eingenistet bleibt. Ein weiteres Jahr verstrich, bevor sich die Angreifer der geernteten Zugangsdaten in ein Administratorkonto einloggten. Damit konnten sie auf andere Ressourcen im Netz der betroffenen Organisation zugreifen.

Content Compliance als Bumerang

Dabei nutzten sie eine Funktion als Hebel, mit der die Organisation den E-Mail-Verkehr ihrer Mitarbeiter auf verpönte Inhalte überwacht (Domain Content Compliance Rules). Die Täter legten eine lange Liste von Stichworten an und E-Mail-Adressen an. Enthielt ein E-Mail einen dieser Suchbegriffe, wurde es automatisch heimlich mittels BCC: an eine von den Angreifern kontrollierte Gmail-Adresse weitergeleitet.

So erhielten die Angreifer fremde Daten frei Haus. Die GTIG hat UNC6508 mit hoher Wahrscheinlichkeit der Volksrepublik China zugeordnet. Eine offenbar manuell erstellte Stichwortliste gibt Einblick darin, wofür sich die Auftraggeber speziell interessieren: konventionelle Waffen, offensive Software und andere Militärbelange, außenpolitische Strategien, Diplomatie, unbemannte Fahrzeuge, KI, medizinische Forschung und Pathogene, darunter das Chikungunya-Virus.

Die GTIG hat zahlreiche Opfer, die wohl all die Google Cloud nutzen, ausgemacht und verständigt. Zur Vorbeugung empfiehlt Google unter anderem konsequenten Einsatz von Zweifaktor-Authentifizierung (2FA), Gerätebindung von Cookies (DBSC) um etwaige Kopien unbrauchbar zu machen, das Anlegen von Logs und deren regelmäßige Auswertung, automatische Regeln zur Reduktion unautorisierter Ausleitung sensibler Daten, Einspielen aller Redcap-Update und aktive Ausschau nach Infinitered anhand verräterischer Spuren.

(ds)