Nyt IoT-botnet står på spring til at inficere to millioner enheder
Da den anonyme programmør Anna-senpai sidste år frigav koden til et program, der scannede internettet for IoT dimser og tvang dem ind i et botnet, udløste det en række rekordstore DDoS angreb.
Journalisten Brian Krebs’ hjemmeside blev blæst bagover af 620 Gbps trafik, og DNS udbyderen Dyn blev også ramt, hvilket lukkede adgangen til bl.a. Netflix, Spotify og Reddit på en gang.
Et botnet, der overgår Mirai i sofistikerethed og potentielt i størrelse, er nu på vej ifølge to sikkerhedsfirmaer. Botnettet er døbt Reaper eller Troop afhængig af, hvem du spørger, og mere end to mio. IoT enheder står i kø til at blivet hacket ifølge eksperter fra kinesiske Netlab360.
“Vi tracker flere kontrolservere, og data fra bare en af dem viser over 10.000 aktive bot-IP’er om dagen. Samtidig er der millioner af potentielt sårbare device IP’er, som bliver lagt i kø i kontrolserverens system,” skriver de kinesiske forskere.
De IP adresser bliver senere brugt i en automatisk loader, der forsøger at inficere enheden og dermed øge botnettets størrelse.
Udnytter kendte sikkerhedshuller
Hvor Mirai brugte standard kodeord til at få adgang til 2,5 mio. IoT devices, udnytter Reaper i stedet kendte sikkerhedshuller til automatisk at inficere IoT-enheder. Når en dims er blevet inficeret, bruges den til at scanne internettet for andre sårbare enheder at sprede ormen til.
De kinesiske sikkerhedseksperter har identificeret ni sikkerhedshuller, som allerede nu er integreret i de malware eksemplarer de har fundet, og ormen bliver løbende opdateret til at udnytte nye svagheder. En svaghed i et bestemt mærke af IP-kameraer blev tilføjet blot to dage efter den blev offentliggjort.
Eksperterne fandt også ud af, at mere end 100 DNS open resolvers allerede er blevet fanget i botnettet, så såkaldte DNS amplification-angreb, der kan forstærke trafikken fra andre enheder, er også i botnettets arsenal.
Ingen angreb - endnu
Malwaren indeholder et integreret Lua environment, hvor scripts til at udføre DDoS-angreb er fundet af de kinesiske eksperter, men de mener ikke at botnettet er brugt til et konkret angreb endnu.
Det mener de skyldes, at bagmændene søger at øge netværket, før de bruger det til et angreb. Eksperterbe noterer også at botnettet ikke scanner så aggressivt efter nye sårbare enheder, som Mirai-ormen gjorde.
Forskerne fandt i sidste uge frem til at omkring 20.000 enheder er inficeret med malwaren, men at over to millioner enheder står i kø til at blive inficeret. Alle ejere af IoT-dimser bør derfor være ekstra opmærksom på, at holde deres dimser opdateret, inden de bliver taget som slaver.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
