Am Morgen des 5. Aprils 2016 boten etliche US-amerikanische Radiosender ihren Hörern eine äußerst ungewöhnliche Sendung. Während dieser 90 Minuten diskutierten die Moderatoren über die sexuelle Subkultur der eine Vorliebe für anthropomorphe Charaktere aus beliebten Zeichentrickserien, Comics und Science Fiction teilt. Nun war es nicht die Absicht der Angestellten des Radiosenders, ihre Hörer zu schockieren — das Equipment des Senders war gehackt worden.
Eineinhalb Stunden lang wurden die Einwohner einiger Städte in Colorado und Texas ganz genau mit Paradox Wolf, Fayroe und deren Freunden vertraut gemacht. Das sind die Spitznamen der Autoren von FurCast — einem Fanwebcast, der von zwei Männern und einer Frau aus New York ins Leben gerufen wurde. Es war nie vorgesehen gewesen, dass dieser Sender für die breite Öffentlichkeit zu hören sei, aber das kümmerte die Hacker nicht.
Wie konnte das geschehen?
Mindestens eine der gesendeten Shows der Radiosender wurde aus Denver über das Internet an vier Remote-Transmitter übertragen. Einer von ihnen befand sich in der Stadt Breckenridge in Colorado. Dieser Transmitter wurde gehackt. Die Hacker ersetzten die vorgesehene Sendung mit der FurCast-Episode 224. Die Rundfunktechniker konnten aus der Ferne nicht die Kontrolle des Transmitters zurückerlangen, so dass sie Denver verlassen und zum Übertragungsgerät fahren mussten, um dessen System manuell neu zu programmieren.
https://twitter.com/qoxdoxobxop/status/718332955941343232
Während des Hackerangriffs bemerkten die Schöpfer von FurCast eine Zunahme der Verbindungen zu ihrem Podcastarchiv. Dies hielt einige Stunden an, und hörte auf, als das Team das Problem bei KIFT-FM (Colorado) und KXAX (Texas) entdeckte und kurzzeitig den Zugang zur Datenbank blockierte. Die Mehrheit der getätigten Verbindungen nutzte den User-Agent „Barix Streaming Client“.
Barix ist ein bekannter Audiostreaming-Hardwarehersteller und genau diese Geräte von Barix wurden von den gehackten Radiosendern genutzt.
Ars Technica berichtete, dass die Hacker einige Zeit damit verbracht hatten, Passwörter zusammenzutragen. Barix-Konverter unterstützen bis zu 24-stellige Symbolkombinationen, „aber mindestens in zwei Fällen wurden 6-stellige Passwörter gehackt“.
Einige dieser Übertragungsgeräte waren auch über Shodan zu finden — einer Suchmaschine für das Internet der Dinge, die es ermöglicht, vernetzte Devices zu finden.
What are #IoT search engines Shodan and Censys and what are they capable of? We take a look: https://t.co/mLszoMwAOv pic.twitter.com/D0xCgt700n
— Kaspersky (@kaspersky) February 29, 2016
Das FurCast-Team blockierte die von den gehackten Barix-Transmittern genutzten IP-Adressen und lud die betroffenen Episoden zur Freude ihrer tatsächlichen Zuhörerschaft erneut hoch. Gegenwärtig arbeitet das FurCast-Team mit Vollzugsbehörden zusammen, um diesen Vorfall zu untersuchen.
Obwohl der Podcast nur von wenigen kleinen Radiosendern übertragen wurde, hat dieser Vorfall hohe Wellen geschlagen. Allein KIFT-FM bekam hunderte Telefonanrufe und E-Mails von beunruhigten Hörern, die verlangten, dass das nicht noch mal geschehen dürfe.
https://twitter.com/dangeredwolf/status/718409169510998016
Dan Cowen, Programdirektor von KIFT, beschrieb die Reaktion des Mitarbeiters des Radiosenders folgendermaßen: „Unsere Hörer waren sehr entsetzt, aber glauben Sie mir, wir waren weitaus entsetzter. Es ist vergleichbar damit einen Autounfall in Zeitlupe zu sehen… diesen Vorfall nehmen wir sehr ernst — ganz besonders wegen der Familien, die auf so entsetzliche Weise wach werden mussten.“
Während die BBC, Ars Technica und einige andere Fernsehsender über dieses Thema lachen konnten, ist es dennoch eine ernste Angelegenheit. In der Vergangenheit haben Sender ihre Sendelizenzen durch ähnliche Vorfälle verloren.
Am 11. Februar 2013 hackte ein Krimineller Geräte des Katastrophenalarmsystems der USA, die vier US-amerikanischen Fernsehsendern gehörten. Diese Devices dienen dazu, die Bevölkerung vor lokalen Unwetterkatastrophen wie Tornados und flutartigen Überschwemmungen zu warnen. Der Kriminelle benutzte das Katastrophenalarmsystem, um der breiten Masse mitzuteilen, dass Zombies aus ihren Gräbern aufsteigen und in Wohngebiete eindringen (eine eindeutige Bezugnahme auf die Serie The Walking Dead). Die Federal Communications Commission (Bundesbehörde für Kommunikation) befand die Sender für schuldig, da sie ihre Devices nicht ausreichend vor unautorisierten Fernzugriffen geschützt hatten.
1987 litten Fernsehsender aus Chicago ebenfalls unter bösartigen Angriffen, jedoch wurden sie nicht für schuldig befunden, da kein tatsächlicher Hackerangriff stattgefunden hatte: die Kriminellen erzeugten einfach ein stärkeres Signal mit gleicher Frequenz.
Cyberkriminelle hackten Barix-Transmitter, um obszönen Podcast auf US-amerikanischen Radiosendern zu senden.
Tweet
Die betroffenen Radiosender sind in hohem Maße selbst für den FurCast-Vorfall verantwortlich. Sie hätten verlässlichere Passwörter verwenden und ihre Devices mithilfe von Firewalls schützen müssen. Es hängt nun von der Federal Communications Commission ab, ob sie für schuldig befunden werden oder nicht.
Was Sie und mich betrifft sollten wir diesen Vorfall als mahnendes Beispiel nehmen, wie gefährlich vernetzte Devices sind und warum Sie Ihre neugekaufte IP-Kamera nicht mit dem Standardpasswort verwenden sollten.