Hacker

IoT-botnets ingezet in massale DDoS-aanvallen op DNS-service provider

by Paul24 oktober 2016

Vrijdag 21 oktober 2016 gaat de geschiedenis in als de dag dat ‘het internet’ massaal werd aangevallen door The Internet of Things. In dit geval ging het om de DNS-infrastructuur die door de Amerikaanse provider Dyn wordt beheerd. Het  Domain Name System is één van de basisbouwstenen van het internet: het zorgt er voor dat IP-adressen worden vertaald naar de namen van websites en vice versa.

Om 10:10 (Nederlandse tijd) op vrijdag jongstleden werd de gecoördineerde aanval op de DNS-infrastructuur van Dyn door het bedrijf zelf voor het eerst opgemerkt. Het ging om een zogenoemde Distributed Denial of Service-aanval (DDoS), waarbij een grote hoeveelheid computersystemen (of in dit geval IoT-apparaten) tegelijkertijd een bepaalde website ‘bezoeken’. Hierdoor raakt de website in kwestie ‘overbelast’ en is feitelijk onbereikbaar geworden.

Door het aanvallen van de Dyn DNS-service werden andere websites (die de bewuste dienst gebruiken) nagenoeg onbereikbaar. In de eerste instantie leek de schade beperkt tot het Oosten van de Verenigde Staten. Daar waren sites als die van de videostreamingdienst Netflix en de muziekstreamer Spotify niet of nauwelijks meer benaderbaar. Om 12:20 Nederlandse tijd lijkt het even alsof de DDoS-aanval op Dyn is geluwd. De techneugen van Dyn waren er kennelijk in geslaagd om de juiste tegenmaatregelen te treffen. Dat meldt het bedrijf in ieder geval.Niets is echter minder waar. De massale aanvallen worden weer in volle hevigheid gestart op 14:52 (Nederlandse tijd). Pas om 21:17 Nederlandse tijd geven de techneuten van Dyn het sein ‘Veilig’. De aanvallen zijn even plotseling opgehouden als dat zijn zijn begonnen. Zoals het een dergelijke aanval betaamt, is het niet traceerbaar naar de degene die de boel heeft geïnitieerd. Wel is duidelijk dat er gebruik is gemaakt van honderdduizenden IoT-apparaten.

Speciale IoT-botnet software

DDoS-aanvallen zijn helaas inmiddels een ‘fact of life’ geworden. Er heerst zelfs een levendige handel in software en diensten die dergelijke aanvallen mogelijk maken. Tot dusver werden hiervoor zogenoemde ‘botnets‘ gebruikt: door hackers overgenomen pc’s die als een eenheid kunnen worden ingezet. De nieuwste rage is echter het gebruiken van met het internet verbonden apparaten (jawel: The Internet of Things). Met name IoT-camera’s zijn bij het hackersgilde geliefd. Er is namelijk een redelijk overzichtelijk aantal fabrikanten van dergelijke apparaten, wat het makkelijker maakt om daar kwaadaardige software voor te ontwikkelen. Zo heeft een hacker op 16 oktober dit jaar nog de broncode van een speciaal IoT-botnet programma (‘Mirai’ geheten) gepubliceerd via het Britse Hack Forums, een online verzamelplaats voor hackers. Volgens de bewuste hacker zou hij met behulp van zijn software met gemak zo’n 380.000 IoT-apparaten per keer kunnen inzetten voor een DDoS-aanval. Het lijkt er op dat de persoon in kwestie niet heeft gepocht: volgens Dyn waren de DDoS-aanvallen afkomstig van IoT-botnets die met behulp van de Mirai-software werden ingezet.

Ruim 1 miljoen IoT-apparaten in botnets

Volgens eerdere berichten zijn er ruim 1 miljoen met het internet verbonden apparaten wereldwijd toegevoegd aan botnets. Dat heeft een team van onderzoekers van de Amerikaanse securityspecialist Flashpoint (financieel gesteund door cloud provider Level 3) boven water weten te krijgen.

Volgens de Flashpoint-experts gaat het om botnets die geïnfecteerd zijn door varianten van een malware-soort die bekend is onder diverse namen (onder andere Gafgyt, Lizkebab, Bashlite en Torlus). De botnets worden door beruchte groepen hackers zoals Lizard Squad en Poodle Group gebruikt om DDOS-aanvallen (al dan niet in opdracht van derden) uit te voeren op websites. En nu is er ook de Mirai-software bijgekomen.

Standaard toegangcodes

Naar verluidt, zijn het met name beveiligingscamera’s die door de malware geïnfecteerd (95 procent) zijn. Deze van besturingssystemen als Linux voorziene apparaten vormen een betrekkelijk eenvoudig doelwit door het feit dat het gros uitgerust is met een Telnet– of een webinterface waarmee via het internet toegang tot de camera’s is te krijgen. Om het de hackers nog makkelijker te maken, hebben de eigenaren van de camera’s veelal de vanaf de fabriek geïnstalleerde standaard toegangscode ongewijzigd gelaten.

De geografische spreiding van de bewuste IoT-botnets op een wereldkaart zien? Kijk hieronder: