En sneller dan we denken: broncode voor IoT-botnets nu online.

Een paar dagen geen iDeal? Het kan binnenkort zomaar gebeuren, omdat we de wereld hebben volgepropt met onbeveiligde routers, camera's en IoT-gadgets. Broncode om die in te zetten voor mega-DDoS-aanvallen is nu beschikbaar.

Onlangs legde zo'n grote DDoS-aanval site Krebsonsecurity.com van journalist Brian Krebs plat. CDN Akamai, die gratis diensten verleende aan Krebs, vangt normaal gesproken pieken op, maar zag zich genoodzaakt de dienstverlening te stoppen, aangezien betalende klanten leden onder de aanhoudende 665 Gbps-DDoS.

De kracht van schaal

Honderdduizenden of miljoenen Internet of Things-apparaatjes die allemaal requests naar dezelfde server sturen zijn nog krachtiger dan een DDoS-impacttool als Anonymous' LOIC of andere 'stressertools' die online (gewoon bovengronds op publieke sites) worden verhandeld. Gecombineerd met amplification-aanvallen en verschillende klassieke floodtechnieken, kunnen deze behoorlijk wat schade aanrichten.

De aanval van vorige week bestond uit 140.000 camera's en internetverbonden digitale videorecorders, zo ontdekte netwerkleverancier Level 3 die onderzoek verrichtte naar de mega-aanval. In totaal zouden 1,5 miljoen apparaten bij de aanval betrokken zijn. Dat zijn 1,5 miljoen matig beveiligde thuisapparaten die de afgelopen jaren zijn veroverd door aanvallers en ingelijfd in botnets.

Oogsten wat we zaaien

Vorig jaar had ik een gesprek op beveiligingscongres RSAc met Intel Security-CTO Raj Samani die zich verbaasde over de lethargie van de gemiddelde gebruiker. Veel daarvan vinden dat als malware geen impact op henzelf heeft - bijvoorbeeld omdat het geen data steelt, schade aanricht of te veel bandbreedte opsnoept - het dus geen probleem is. Maar als straks online bankieren uren of zelfs dagen offline is, merken we allemaal de gevolgen van die passieve houding.

Mitigatiediensten als die van CloudFlare of Google (wiens Project Shield de site van Krebs nu beschermt) helpen tegen DDoS-aanvallen, maar komen onder flinke druk te staan als meerdere IoT-DDoS-aanvallen simultaan worden uitgevoerd. Met de honderdduizenden zo niet miljoenen kwetsbare apparatuur, waar beveiligers al bijna een decennium voor waarschuwen, is er een grote DDoS-capaciteit beschikbaar voor kwaadwillenden.

Tool voor de massa

Brian Krebs meldt nu dat de broncode voor malware waarmee je zo'n potent DDoS-botnet kunt opzetten is vrijgegeven, "zo goed als garanderend dat internet binnenkort wordt overspoeld met aanvallen van nieuwe botnets die worden aangedreven door onbeveiligde routers, IP-camera's, digitale videorecorders en meer makkelijk te hacken apparaten."

De malware scant voortdurend naar onbeveiligde apparaten en vuurt daar software op af om ze in een botnet op te nemen. Het goede nieuws is dat overgenomen apparaten na een reboot weer vrij zijn, maar natuurlijk vrij snel daarna opnieuw besmet worden, tenzij de configuratie wordt verbeterd.

Reacties mogelijk gemaakt door CComment