Nieuw IoT-botnet infecteert miljoen netwerken
Verschillende beveiligingsfirma’s hebben een nieuw botnet gevonden dat bestaat uit ‘slimme toestellen’, net zoals het Mirai-botnet dat vorig jaar het internet wist lam te leggen. Het nieuwe botnet is de voorbije maand tot enorme proporties uitgegroeid.
Het botnet, dat mogelijk al miljoenen toestellen in zijn rangen heeft, kreeg de naam IoT_Reaper of kortweg Reaper mee. Onderzoekers aan de Chinese securityfirma Qihoo 360 en het Israëlische Check Point brengen een rapport uit waarin ze voor de mogelijke gevolgen en plannen van de botnet waarschuwen. Volgens de onderzoekers gebruikt het botnet delen van de code die ook het Mirai IoT-botnet inzetten, maar is deze nieuwe dreiging geavanceerder, en wordt ook het botnet vele malen groter.
Mirai, weet u nog, was een botnet dat bestond uit duizenden IoT-gadgets, waaronder printers, beveiligingscamera’s en babyfoons. Een jaar geleden slaagde het erin om het internet in delen van de wereld plat te leggen met een gerichte aanval op de Dyn DNS-dienst, een van de ‘controletorens’ van ht internet. Daarbij lagen ook diensten als Twitter en Spotify even plat. Opvallend aan het Mirai-botnet was echter dat het vrij simpele technologie inzette. Het liet bijvoorbeeld standaardwachtwoorden los op IP-camera’s en andere ‘slimme’ toestellen, om ze zo aan het botnet toe te voegen.
De nieuwste botnetdreiging gaat een stapje verder en zou ook effectief hackingtechnieken gebruiken om in de toestellen in te breken. Waar Mirai de cyberversie deed van even testen of de deur los is, gaat Reaper ook proberen het slot open te krijgen. Met succes, trouwens. Volgens de onderzoekers zou het al toestellen op een miljoen netwerken in zijn arsenaal hebben.
Altijd weer die patches
De onderzoekers wijzen erop dat Reaper nog niet gebruikt is voor aanvallen, maar dat het systeem nog in zijn beginfase zit. Er wordt gesproken over een ‘baby’ botnet dat nog volop aan het groeien is. De Reaper malware gebruikt een hoop aanvalstechnieken, waaronder gespecialiseerde aanvallen die de routers van D-Link, Netgear en Linksys als doel hebben, naast enkele merken van beveiligingscamera’s. Voor die toestellen zijn vaak al patches uit, maar veel gebruikers hebben niet de gewoonte om hun eigen router te patchen, laat staan hun IP-camera.
Volgens Check Point is zestig procent van de netwerken die het in het oog houdt geïnfecteerd met de Reaper malware. Qihoo 360 schrijft van zijn kant dat 10.000 toestellen in het botnet dagelijks communiceren met de ‘command-and-control’ server van de hackers, maar dat er ook miljoenen toestellen in de wachtrij staan. Zij moeten nog een stukje software krijgen toegestuurd voordat ze in het botnet worden ingezet.
De beveiligers roepen op om gadgets zoals routers en camera’s minstens te updaten. Op de site van Check Point staat een lijst van gadgets die mogelijk kwestbaar zijn. De firma raadt aan alle toestellen op die lijst hoe dan ook te updaten, of terug te zetten naar fabriekswaarden, waardoor de malware kan worden verwijderd. Zeker voor routers is, na de heisa rond het WPA2-lek, een nieuwe patch misschien geen slecht idee.
Grootse plannen?
Mirai wist vorig jaar grote delen van het net plat te leggen door een DDoS-aanval uit te voeren op de Dyn DNS-dienst. Bij zo’n aanval gaan een massa toestellen tegelijk verbinding proberen te maken met een server, waardoor die de vraag niet meer kan bijhouden en uiteindelijk uit kan vallen. Reaper heeft zich nog niet geroerd, maar Check Point wijst erop dat je met een legertje aan IoT-toestellen weinig anders kan doen dan DDoS-aanvallen starten.
De malware die het botnet gebruikt bevat bovendien code waarmee extra modules gedownload kunnen worden naar geïnfecteerde machines. De eigenaar van de botnet kan dus vrij snel zijn aanval inzetten. Wat de makers van de botnet van plan zijn, is nog niet meteen duidelijk maar de beveiligingsfirma’s zien het alvast met lede ogen tegemoet. ”We zitten nu in de stilte voor een zware storm,” schrijft Check Point met enig gevoel voor drama. “De volgende cyberorkaan komt eraan.”
Fout opgemerkt of meer nieuws? Meld het hier