Nieuw botnet richt zich op het wissen van IoT-hardware

Onderzoekers hebben onlangs een nieuw botnet ontdekt die zich specifiek richt op IoT-hardware. Het HEH-botnet heeft als ogenschijnlijk doel het volledig wissen van op de bewuste apparaten opgeslagen data en ingebakken firmware. Hierdoor wordt de IoT-hardware, zoals een IP-videocamera, feitelijk onbruikbaar (‘bricked’ in het IT-jargon). De gebruikte malware is ontdekt door de Chinese cybersecurityexpert 360Netlab.

De malware die wordt gebruikt om IoT-apparaten aan te vallen is geschreven in de programmeertaal Go, aldus de onderzoekers van 360NetLab. Het maakt gebruik van zogenoemde ‘brute force attacks‘ om toegang proberen te krijgen - via de Telnet-poorten 23/2323. Zodra het ‘binnen’ is, wordt er een script uitgevoerd waarmee enkele kwaadaardig bedoelde scripts en programma’s worden gedownload op het apparaat. Die zijn alle gericht op het verwijderen van aanwezige data én de firmware, de basissoftware die voor het functioneren van de hardware borg staat. Een saillant detail: één van de scripts start een lokale HTTP-server (op poort 80) waarmee vervolgens in acht talen de ‘Universele Verklaring van de Rechten van de Mensen’ wordt getoond. Hoe de HEH-malware te werk gaat? Daar heeft 360Netlab een keurig stroomdiagram van gemaakt.

[Tekst loopt door onder de afbeelding.]

Botnets al langer actief

Internet of Things-apparaten worden al langere tijd gebruikt voor het formeren van botnets, een collectie van aan elkaar gekoppelde hardware die kwaadaardige software gebruikt die meestal is geïnstalleerd door een computerworm of een Trojaans paard. Al in 2016 meenden experts dat er wereldwijd minimaal een miljoen IoT-spullen geïnfecteerd waren met dergelijke malware. Dat aantal is in de afgelopen vier jaar alleen maar gegroeid, zo is de inschatting.