Edge Devices und ORBs: Die neue Angriffsfläche im Cyberkrieg

Cybersecurity Insights von Markus Seme, 17. Februar, 2025

Was sind Edge Devices und warum sind sie so kritisch?

Edge Devices sind netzwerknahe Geräte, die sich an der Grenze zwischen internen Unternehmensnetzwerken und externen Netzwerken (z. B. Internet) befinden. Dazu gehören:

  • Firewalls
  • Router und SOHO-Router (Small Office/Home Office)
  • VPN-Gateways
  • IoT-Geräte (z. B. Überwachungskameras, smarte Sensoren)

Diese Geräte sind besonders kritisch, da sie oft direkt mit dem Internet verbunden sind und als erste Verteidigungslinie für Unternehmensnetzwerke dienen. Hauptproblem: Sie sind häufig unzureichend gepatcht oder nicht mit modernen Sicherheitslösungen ausgestattet, was sie zu einem bevorzugten Ziel für Angreifer macht.

Was sind ORBs (Operational Relay Boxes)?

ORBs (Operational Relay Boxes) sind anonymisierte Netzwerkinfrastrukturen, die Cyberkriminelle nutzen, um ihre Aktivitäten zu verschleiern. Sie bestehen meist aus kompromittierten Edge Devices, die als Proxy-Knoten innerhalb eines Angriffsnetzwerks fungieren.

Wie funktionieren ORBs?

  • Angreifer übernehmen ein Edge Device (z. B. einen Router) durch eine Zero-Day-Schwachstelle oder gestohlene Zugangsdaten.
  • Das kompromittierte Gerät wird dann in ein anonymes Netzwerk eingebunden.
  • Es dient als Sprungbrett für weitere Angriffe oder zur Umleitung von Daten (z. B. gestohlene Informationen aus Unternehmen).

Ein Beispiel ist das KV-Botnet, das über 40.000 kompromittierte Geräte nutzt, um Cyberangriffe durchzuführen.

Warum sind Edge Devices und ORBs ein wachsender Bedrohungstrend?

In den letzten Jahren sind Angriffe auf Edge Devices explosionsartig angestiegen. Drei Hauptgründe:

1. Exploit von Zero-Day-Schwachstellen in Edge Devices
2024 gab es eine Welle von Zero-Day-Exploits in VPN-Gateways, Firewalls und Routern:

  • CVE-2024-24919: Ermöglichte das Auslesen sensibler Konfigurationsdateien aus SSLVPN-Geräten.
  • CVE-2024-3400: Betraf Palo Alto Networks GlobalProtect VPNs, ermöglichte unauthentifizierte Remote Code Execution.

Solche Schwachstellen sind besonders problematisch, da Edge Devices oft schwer zu patchen sind – ein Neustart oder Update kann zu Betriebsunterbrechungen führen.

2. Gezielte Angriffe durch staatlich unterstützte Akteure
Mehrere staatlich gesponserte Gruppen, insbesondere aus China, nutzen ORBs und Edge Device-Exploits für langfristige Cyber-Spionagekampagnen. Staatliche Akteure nutzen Edge Devices oft für persistente Infiltration, um Netzwerke über Jahre hinweg zu überwachen:

  • Volt Typhoon: Angriff auf kritische US-Infrastruktur durch Einsatz kompromittierter SOHO-Router.
  • Pacific Rim: Gezielte Angriffe auf Firewalls und VPNs (z. B. Sophos, Fortinet) zur langfristigen Überwachung und Industriespionage.

3. Kommerzielle Cybercrime-Gruppen setzen auf Edge Device-Exploits
Neben staatlich gesponserten Gruppen sind auch finanziell motivierte Hacker verstärkt aktiv:

  • Magnet Goblin: Neue Ransomware-Gruppierung, spezialisiert auf Zero-Day-Exploits in VPNs & Web-Apps.
  • TheMoon & Faceless Proxy Botnets: Cyberkriminelle nutzen über 40.000 kompromittierte End-of-Life-Router, um illegale Aktivitäten zu verschleiern.

Besonders brisant: Botnets wie Raptor Train umfassen über 200.000 kompromittierte Geräte, die als DDoS-Infrastruktur und Anonymisierungsnetzwerke dienen.

Wie hängt das mit OT Security zusammen?

Operational Technology (OT) wird zunehmend zum Ziel von Angriffen über Edge Devices und ORBs:

  • ICS (Industrial Control Systems) und SCADA-Systeme nutzen oft veraltete VPNs oder Firewalls als Zugriffspunkte.
  • Edge Device-Schwachstellen können genutzt werden, um sich von der IT-Ebene in OT-Netzwerke zu bewegen.
  • Beispiel: ArcaneDoor-Kampagne – Angriff auf Cisco ASA-Firewalls, um langfristige Industriespionage durchzuführen.

Viele Unternehmen haben unzureichende Segmentierung zwischen IT und OT, was Edge Device-Exploits zu einem direkten Risiko für Produktionsumgebungen macht.

Fazit: Schutzmaßnahmen gegen Edge Device- und ORB-Angriffe

Unternehmen müssen neue Sicherheitsstrategien entwickeln:

  • Zero-Trust für Edge Devices: Keine direkten Verbindungen ohne Authentifizierung.
  • Regelmäßige Patches & Firmware-Updates: Edge Devices schneller aktualisieren.
  • Netzwerksegmentierung: Strikte Trennung zwischen IT und OT.
  • Erweiterte Erkennungssysteme (EDR & XDR): Früherkennung von Anomalien auf Edge Devices.
  • Darknet-Monitoring für kompromittierte Geräte: Überwachung von gestohlenen Zugangsdaten und geleakten ORB-Netzen.

 

Über den Autor

Markus Seme ist Geschäftsführer von BearingPoint Österreich und Teil des Managements von BearingPoint Products. Mit über 15 Jahren Erfahrung bei BearingPoint liegt sein Fokus auf Cybersecurity, digitale Resilienz und innovative Sicherheitslösungen. Er unterstützt Unternehmen dabei, sich gegen aktuelle und zukünftige Cyberbedrohungen zu wappnen.

Es beginnt immer mit einem Gespräch

Kontaktieren Sie uns, um mehr über IT-Security Services zu erfahren. Unser Cybersecurity-Team steht für Sie bereit.
Kontaktieren Sie uns