Gespot: Slimmere versie beruchte Mirai IoT-malware duikt op
Het werd voor het eerst in oktober 2016 gesignaleerd: de speciaal voor IoT-apparaten geschreven malware die bekend werd onder de naam ‘Mirai‘. De software zorgde ervoor dat bijvoorbeeld IP-camera’s massaal waren in te zetten als ‘botnet’. De kwaadaardige software mag weliswaar bijna twee jaar oud zijn, maar volgens experts is er nu sprake van een heuse comeback van verder ontwikkelde Mirai-varianten.
De jongste uitvoering van de Mirai IoT-malware, ‘Sora’, is in staat om op verschillende soorten systemen te werken, waaronder apparaten die met het besturingssysteem Android van internetgigant Google werken. Sora werd begin 2018 voor het eerst in het wild gesignaleerd. De laatste tijd is er volgens experts sprake van een ‘hausse’ als het gaat om met Sora geïnfecteerde apparaten. Het Amerikaanse softwarebedrijf Symantec heeft daar op 23 augustus jongstleden melding van gemaakt in zijn meest recente rapport over internetbedreigingen. Sora onderscheidt zich van zijn voorganger Mirai door het feit dat ’t zich kan verspreiden op een groot aantal verschillende soorten hardware-architecturen en besturingssystemen. Mirai was in principe beperkt tot het infiltreren van IoT-hardware die met het besturingssysteem Linux werkten. Sora is, net als Mirai, open source software en kan na enig speuren via diverse hackerforums worden gedownload. Dat is één van de voornaamste redenen voor de snelle verspreiding van de malware. Mirai zelf is overigens nog volop actief. Ook in Nederland, zoals blijkt uit een simpele zoekopdracht op de gespecialiseerde site ‘Mirai Bad Packets’.
Ontwrichtende IoT-botnets
De groeiende acceptatie van Internet of Things-toepassingen, zoals met het internet verbonden bewakingscamera’s, heeft ook schaduwkanten. Zo kijken hackers al enkele jaren met stijgende belangstelling naar IoT-hardware. Na de bewuste IoT-apparatuur te hebben geïnfiltreerd, kunnen zij ze inzetten als een eenheid waarmee bijvoorbeeld grootschalige Distributed Denial of Service-aanvallen op websites zijn te voeren. Hierbij ‘bezoekt’ een grote hoeveelheid computersystemen (of in dit geval IoT-apparaten) tegelijkertijd een bepaalde website. Als gevolg raakt de website in kwestie ‘overbelast’ en is feitelijk onbereikbaar geworden. Zoals op 21 oktober 2016 het geval was. Op die dag kreeg de Amerikaanse provider Dyn te maken met een massale DDoS-aanval op de DNS-infrastructuur die het beheert. Het Domain Name System is één van de basisbouwstenen van het internet: het zorgt er voor dat IP-adressen worden vertaald naar de namen van websites en vice versa.
Door het aanvallen van de Dyn DNS-service werden andere websites (die de bewuste dienst gebruiken) nagenoeg onbereikbaar. In de eerste instantie leek de schade beperkt tot het Oosten van de Verenigde Staten. Daar waren sites als die van de videostreamingdienst Netflix en de muziekstreamer Spotify niet of nauwelijks meer benaderbaar.
Botnets te huur
Wie niet over de benodigde ICT-kennis beschikt om bijvoorbeeld met de Mirai-malware zelf aan de slag te gaan, kan de botnets ook domweg huren, zoals IoT Journaal vorig jaar ontdekte. Een IoT-botnet van 50.000 apparaten inhuren voor een aanval, kost een slordige 4600 dollar per week. Het grotere werk (100.000 IoT-apparaten) is weliswaar duurder, maar nog steeds relatief betaalbaar: 7500 dollar per week.
Ruim 1 miljoen geïnfecteerde IoT-apparaten
Volgens eerdere berichten zijn er ruim 1 miljoen met het internet verbonden apparaten wereldwijd toegevoegd aan botnets. Dat heeft een team van onderzoekers van de Amerikaanse securityspecialist Flashpoint (financieel gesteund door cloud provider Level 3) boven water weten te krijgen.
Volgens de Flashpoint-experts gaat het om botnets die geïnfecteerd zijn door varianten van een malware-soort die bekend is onder diverse namen (onder andere Gafgyt, Lizkebab, Bashlite en Torlus). De botnets worden door beruchte groepen hackers zoals Lizard Squad en Poodle Group gebruikt om DDOS-aanvallen (al dan niet in opdracht van derden) uit te voeren op websites.
