Zorgwekkende groei van thingbots die IoT-apparatuur aanvallen

Securityspecialist F5 waarschuwt voor de opkomst van zogeheten thingbots. Dit zijn cyberwapens om Internet of Things (IoT)-apparatuur aan te vallen. Ze blijken populair onder hackers die botnets bouwen. Onderzoekstak F5 Labs signaleerde een groei van 249 procent.

Bij aanvallen met thingbots gaat het vaak om Telnet brute force attacks. Daarbij wordt misbruik gemaakt van het telnet-protocol om op afstand in te loggen op een apparaat en via een opdrachtregel de besturing over te nemen. Aanvallen kwamen voor 44 procent uit China, gevolgd door de VS en Rusland. F5 schrijft in het nieuwste Threat Intelligence onderzoeksrapport bezorgd te zijn dat al twee jaar lang dezelfde IP-adressen en netwerken worden gebruikt voor de aanvallen. Daaruit blijkt dat het kwaadwillende verkeer niet effectief wordt afgestopt of zelfs helemaal niet wordt opgemerkt.

Doelwitten van de aanvallen bevinden zich overal. De VS, Singapore, Spanje en Hongarije staan hoog genoteerd, maar zelfs landen in de top-10 kregen maar een klein percentage van de aanvallen te verduren. Dit wijst erop dat kwetsbare IoT-apparatuur over de hele wereld voorkomt en aangevallen wordt. Het aanvalsvolume daalde eind 2017 iets ten opzichte van begin vorig jaar, maar de  impact was nog altijd groter dan Mirai, waarbij wereldwijd allerlei CCTV-apparatuur, routers, televisies en opname-apparatuur werden aangevallen.

Hoewel het Telnet-protocol populair is bij IoT-misbruik, kiezen aanvallers ook voor andere methoden. Zo berekende F5 dat er minstens 46 miljoen routers voor thuisgebruik kwetsbaar zijn voor een ‘command injection’-aanval op de beheerprotocollen TR-069 en TR-064 waarmee service providers op afstand routers kunnen aansturen. Deze aanvalsmethode staat ook wel bekend onder de noemer Annie-thingbot en was in staat wereldwijd routers uit te zetten bij klanten van verschillende providers. Annie is een van de vijf ontdekte spin-offs, gemaakt met onderdelen van Mirai. De andere zijn Persirai, Satori, Masuta en Pure Masuta. Alleen Persirai en Satori maakten gebruik van telnet.

F5 sluit niet uit dat er thingbots actief zijn die niet worden ontdekt, maar waar cybercriminelen wel geld aan verdienen. Een voorbeeld zijn cryptomining-thingbots. Die maken gebruik van IoT-apparatuur om te speuren naar cryptomunten. Zolang consumenten daar niet veel last van hebben, kan de malware lange tijd ongezien zijn werk doen.

Bron