Nyt IoT-botnet står på spring til at inficere to millioner enheder

Reaper botnettet er mere sofistikeret end Mirai, der blev brugt til massive DDoS angreb sidste år.

Da den anonyme programmør Anna-senpai sidste år frigav koden til et program, der scannede internettet for IoT dimser og tvang dem ind i et botnet, udløste det en række rekordstore DDoS angreb.

Journalisten Brian Krebs’ hjemmeside blev blæst bagover af 620 Gbps trafik, og DNS udbyderen Dyn blev også ramt, hvilket lukkede adgangen til bl.a. Netflix, Spotify og Reddit på en gang.

Et botnet, der overgår Mirai i sofistikerethed og potentielt i størrelse, er nu på vej ifølge to sikkerhedsfirmaer. Botnettet er døbt Reaper eller Troop afhængig af, hvem du spørger, og mere end to mio. IoT enheder står i kø til at blivet hacket ifølge eksperter fra kinesiske Netlab360.

“Vi tracker flere kontrolservere, og data fra bare en af dem viser over 10.000 aktive bot-IP’er om dagen. Samtidig er der millioner af potentielt sårbare device IP’er, som bliver lagt i kø i kontrolserverens system,” skriver de kinesiske forskere.

De IP adresser bliver senere brugt i en automatisk loader, der forsøger at inficere enheden og dermed øge botnettets størrelse.

Læs også: 'admin:admin' - kæmpestort Internet of Things-botnet udnyttede 60 standard-kodeord

Udnytter kendte sikkerhedshuller

Hvor Mirai brugte standard kodeord til at få adgang til 2,5 mio. IoT devices, udnytter Reaper i stedet kendte sikkerhedshuller til automatisk at inficere IoT-enheder. Når en dims er blevet inficeret, bruges den til at scanne internettet for andre sårbare enheder at sprede ormen til.

De kinesiske sikkerhedseksperter har identificeret ni sikkerhedshuller, som allerede nu er integreret i de malware eksemplarer de har fundet, og ormen bliver løbende opdateret til at udnytte nye svagheder. En svaghed i et bestemt mærke af IP-kameraer blev tilføjet blot to dage efter den blev offentliggjort.

Eksperterne fandt også ud af, at mere end 100 DNS open resolvers allerede er blevet fanget i botnettet, så såkaldte DNS amplification-angreb, der kan forstærke trafikken fra andre enheder, er også i botnettets arsenal.

Læs også: Millioner af computere verden over eksponeres af usikre telnet-forbindelser

Ingen angreb - endnu

Malwaren indeholder et integreret Lua environment, hvor scripts til at udføre DDoS-angreb er fundet af de kinesiske eksperter, men de mener ikke at botnettet er brugt til et konkret angreb endnu.

Det mener de skyldes, at bagmændene søger at øge netværket, før de bruger det til et angreb. Eksperterbe noterer også at botnettet ikke scanner så aggressivt efter nye sårbare enheder, som Mirai-ormen gjorde.

Forskerne fandt i sidste uge frem til at omkring 20.000 enheder er inficeret med malwaren, men at over to millioner enheder står i kø til at blive inficeret. Alle ejere af IoT-dimser bør derfor være ekstra opmærksom på, at holde deres dimser opdateret, inden de bliver taget som slaver.

Læs også: Efter IoT-DDoS: Hvad skal kaffemaskinen og støvsugeren med wifi?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017