In Duitsland lijkt webaanval door geknoei mislukt

Mirai, de bedreiging van internet-der-dingen

Mirai maakt internet-der-dingen slaafnetwerk

Zondag hadden in Duitsland klanten van Deutsche Telekom (telefoon, internet en tv) problemen met ontvangst. Dat zou een gevolg zijn geweest van een aanval op Telekomrouters, maar door geknoei zou de aanval niet geleid hebben tot het overnemen van die routers maar tot communicatieproblemen bij de Telekomklanten.
De aanval legde honderdduizenden routers in het Telekomnetwerk plat. Het was de bedoeling dat bij die aanval kwaadaardige programmatuur op de routers zou worden geplaatst, waarmee die voor eigen euvele doelen van de aanvallers zouden kunnen worden benut. Kennelijk zat er een fout in de programmatuur, waardoor de routers uitvielen. In plaats van het stilletjes incorporeren van het kwalijke progje, veroorzaakte dat problemen waardoor de routers uitvielen. Als de aanval gelukt was, dan hadden de krakers in een keer eenmiljoen routers tot hun beschikking gehad voor een vervaarlijk botnetwerk.
Het zou gaan om drie routertypen: Speedport W 921V, Speedport W 723V Typ B en  Speedport W 921 Fiber van de Taiwanese fabrikant Arcadyan. Arcadyan verkoopt die apparaten in Duitsland, maar ook elders. Die drie modellen hebben gemeen dat ze met een standaardwachtwoord beveiligd zijn.

Poort 7547

Kennelijk hebben de krakers gezocht naar poort 7547 van de routers. Deze poort wordt door webaanbieders gebruikt om de router op afstand te configureren. Daar schijn je via de zoekmachine Shodan achter te kunnen komen. Van zo’n 41 miljoen webapparaten zou poort 7547 open staan. Daar behoren de genoemde modellen ook toe. Al in 2014 is Telekom op deze kwetsbaarheid gewezen.
De aanval zou zijn bedoeld om een Mirai-botnet op te zetten zo meldt het webveiligheidsbedrijf Kaspersky-lab. Dergelijke slaafnetwerken worden onder meer gebruikt om door een massa-aanval webstekken te blokkeren. Normaal worden voor die netwerken computers van argelozen (en anderen) gebruikt. Het Mirainetwerk maakt gebruik van het internet-der-dingen, het web van de zogenaamd ‘slimme’ apparaten. Volgens Kasperky werd de schadelijke programmatuur op de harde schijf geïnstalleerd, waarna vervolgens het uitvoerend bestand werd gewist, mogelijk op opsporing onmogelijk te maken.

Fout

Elke besmette router sloot de 7547-poort en ging vervolgens op zoek naar nieuwe slachtoffers om daar zijn last te lossen. Hier ergens zou de fout in de code moeten zitten, want in plaats van te wachten op nieuwe instructies blokkeerde het progje klaarblijkelijk routerfuncties, wat leidde tot uitval of ten minste tot vertraging van de verbinding.
Telekom denkt nu het lek gedicht te hebben, althans de gebruiker moet nieuwe programmatuur binnenhalen en installeren. Waarom het bedrijf dat niet eerder gedaan heeft mag joost weten. Dat lijkt een beetje de houding te zijn in de immer meer verbonden wereld, laksheid, met het internet-der-dingen als dieptepunt.

Bron: der Spiegel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *