Webaanval niet gericht op Telekom-routers

Aanval op lekke routers

Storingshulp op de Telekom-stek

De Telekom-aanval die ik gister hier vermeldde schijnt niet uitsluitend gericht geweest te zijn op routers van klanten van dat bedrijf. Die aanval zou ook niets te maken hebben met lekken in de beveiliging van de aangevallen routers, zo zou blijken uit een verklaring van Deutsche Telekom. Het lijkt er op dat de aanvallers uit waren op routers met een bepaalde kwetsbaarheid met als doel een slaafnetwerk (botnet) te formeren. De dreiging zou nog niet voorbij zijn.

Veiligheidsdeskundige Lion Nagenrauft zou hebben geprobeerd de werkwijze van de aanvallers te kopiëren. Hij zou daarbij gevonden hebben dat het om een lek gaat waar al op 7 november over gepubliceerd is. Het gaat niet alleen om Telekom-routers. Het gaat de aanvallers om de wachtwoorden van de routers te achterhalen, denkt Nagenrauft.
Telekom denkt dat de aanval gericht is op dat lek. Het doel zou nog steeds zijn om een nieuw botnet op te zetten. Wat er misging was waarschijnlijk niet de bedoeling geweest. Het aanvalsprogramma zou zijn tanden hebben stukgebeten op de Speedport-routers, zegt Linus Neumann van de Computer Chaos Club in een blog.
Op de Telekom-routers is geen besturingssysteem geïnstalleerd waarvoor de aanval bedoeld is. Ook zouden die geen kwetsbaarheden hebben waarmee het aanvalsprogje iets kan. Dat de routers het af lieten weten zou volgens Neumann aan een andere kwetsbaarheid hebben gelegen. Waarschijnlijk zijn de routers overbelast geraakt door de voortdurende aanvallen.

Niet voorbij

Uit het Telekomonderzoek zou zijn gebleken dat de aanval niet voorbij is, maar nog steeds voortduurt. De aanvallers hebben het niet op Telekom(klanten) gemunt, maar zijn op zoek naar slachtoffers om apparaten over te nemen die aan het wereldwijde web hangen. Op een proefsysteem noteerde Nagenrauft drie aanvallen binnen vijf minuten. Die hadden maar een doel: kwetsbare routers met kwaadaardige progjes te besmetten om ze tot slaaf te maken in een Mirai-netwerk. Besmette apparaten worden zelf weer aanvallers.

Dat zou betekenen dat het slaafnetwerk met de dag sterker wordt. Telekomrouters schijnen redelijk beveiligd te zijn. De strijd gaat door. Het is dus verstandig je router zo goed mogelijk te beveiligen.

Bron: der Spiegel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.