Nieuw botnet bevat miljoenen IoT-apparaten

Verschillende beveiligingsfirma's hebben een nieuw botnet gevonden dat bestaat uit Internet of Things (IoT) apparaten, net zoals het Mirai-botnet dat vorig jaar het internet wist plat te leggen. Het nieuwe botnet is afgelopen maand tot enorme proporties uitgegroeid.

Het botnet, dat mogelijk al miljoenen toestellen in zijn rangen heeft, kreeg de naam IoT_Reaper of kortweg Reaper mee. Onderzoekers aan de Chinese securityfirma Qihoo 360 en het Israëlische Check Point brengen een rapport uit waarin ze voor de mogelijke gevolgen en plannen van de botnet waarschuwen. Volgens de onderzoekers gebruikt het botnet delen van de code die ook het Mirai IoT-botnet heeft ingezet, maar is deze nieuwe dreiging geavanceerder en wordt ook het botnet vele malen groter.

Mirai

Mirai was een botnet dat bestond uit duizenden IoT-apparaten, waaronder printers, beveiligingscamera's en babyfoons. Een jaar geleden slaagde het erin om het internet in delen van de wereld plat te leggen met een gerichte aanval op de Dyn DNS-dienst, één van de 'controletorens' van het internet. Daarbij lagen ook diensten als Twitter en Spotify even plat. Opvallend aan het Mirai-botnet was echter dat het vrij simpele technologie inzette. Het liet bijvoorbeeld standaardwachtwoorden los op IP-camera's en andere 'slimme' toestellen, om ze zo aan het botnet toe te voegen.

De nieuwste botnetdreiging gaat een stapje verder en zou ook effectief hackingtechnieken gebruiken om in de toestellen in te breken. Waar Mirai bewijzen van spreken probeerde of de deur niet op slot zat, probeert Reaper ook het slot open te krijgen. En met succes: volgens de onderzoekers zou het al toestellen op een miljoen netwerken in zijn arsenaal hebben.

Altijd weer die patches

De onderzoekers wijzen erop dat Reaper nog niet gebruikt is voor aanvallen, maar dat het systeem nog in zijn beginfase zit. Er wordt gesproken over een 'baby' botnet dat nog volop aan het groeien is. De Reaper malware gebruikt een hoop aanvalstechnieken, waaronder gespecialiseerde aanvallen die de routers van D-Link, Netgear en Linksys als doel hebben, naast enkele merken van beveiligingscamera's. Voor die toestellen zijn vaak al patches uit, maar veel gebruikers hebben niet de gewoonte om hun eigen router te patchen, laat staan hun IP-camera.

Volgens Check Point is zestig procent van de netwerken die het in het oog houdt geïnfecteerd met de Reaper malware. Qihoo 360 schrijft van zijn kant dat 10.000 toestellen in het botnet dagelijks communiceren met de 'command-and-control' server van de hackers, maar dat er ook miljoenen toestellen in de wachtrij staan. Zij moeten nog een stukje software krijgen toegestuurd voordat ze in het botnet worden ingezet.

Updaten

De beveiligers roepen op om gadgets zoals routers en camera's minstens te updaten. Op de site van Check Point staat een lijst van gadgets die mogelijk kwestbaar zijn. De firma raadt aan alle toestellen op die lijst hoe dan ook te updaten, of terug te zetten naar fabriekswaarden, waardoor de malware kan worden verwijderd. Zeker voor routers is, na de heisa rond het WPA2-lek, een nieuwe patch misschien geen slecht idee.

Mirai wist vorig jaar grote delen van het net plat te leggen door een DDoS-aanval uit te voeren op de Dyn DNS-dienst. Bij zo'n aanval gaan een massa toestellen tegelijk verbinding proberen te maken met een server, waardoor die de vraag niet meer kan bijhouden en uiteindelijk uit kan vallen. Reaper heeft zich nog niet geroerd, maar Check Point wijst erop dat je met een legertje aan IoT-toestellen weinig anders kan doen dan DDoS-aanvallen starten.

Extra modules downloaden

De malware die het botnet gebruikt bevat bovendien code waarmee extra modules gedownload kunnen worden naar geïnfecteerde machines. De eigenaar van de botnet kan dus vrij snel zijn aanval inzetten. Wat de makers van de botnet van plan zijn, is nog niet meteen duidelijk maar de beveiligingsfirma's zien het alvast met lede ogen tegemoet. “We zitten nu in de stilte voor een zware storm”, schrijft Check Point met enig gevoel voor drama. "De volgende cyberorkaan komt eraan."

In samenwerking met Datanews