Router-botnet steelt wachtwoorden uit netwerkverkeer
Een internationaal botnet van gehackte routers wordt gebruikt om wachtwoorden uit het netwerkverkeer van slachtoffers te stelen. Daarvoor waarschuwt het Duitse computermagazine c't. Het router-botnet zou tal van slachtoffers in Duitsland hebben gemaakt, waaronder een advocatenkantoor.
De malware had daardoor toegang tot alle e-mailaccounts van de advocaten die op het kantoor werken. De aanvallers hebben het voornamelijk voorzien op routers die de DD-WRT router-firmware draaien, waaronder de populaire Linksys WRT54G. DD-WRT is een populaire firmware voor routers, die vaak meer opties en mogelijkheden biedt dan het standaard geïnstalleerde 'besturingssysteem'.
Sommige routers zijn standaard van deze firmware voorzien, maar veel gebruikers kiezen ervoor om die zelf te installeren. Aangezien veel gebruikers de router-firmware na de eerste installatie niet meer updaten als er een update beschikbaar is, zijn er veel ongepatchte routers actief.
Netwerkverkeer
Eén van deze kwetsbaarheden maakt het mogelijk voor een aanvaller om het toestel over te nemen. Het lek werd in 2009 ontdekt en gepatcht, maar veel routers missen de update. Zodra de aanvallers toegang hebben wordt er een netwerksniffer geïnstalleerd die inloggegevens uit het netwerkverkeer haalt en naar de aanvallers doorstuurt.
Op de server waar de aanvallers de gestolen gegevens verzamelden, werden tienduizenden bestanden met gestolen inloggegevens aangetroffen. Naast het advocatenkantoor werd ook nog een bakkersketen ontdekt waar de routers waren gehackt. Via de routers hadden de aanvallers naast inloggegevens ook toegang tot de beelden die met de beveiligingscamera's in de winkels werden gemaakt.
C't ontdekte duizenden IP-adressen van gehackte routers, waaronder tientallen in Duitsland. Die zijn allemaal gewaarschuwd. Het magazine beschrijft in dit artikel hoe eigenaren van een router met DD-WRT kunnen controleren of ze ook gehackt zijn.
Ze moeten in ieder geval ook de partijen kielhalen die nog steeds wachtwoorden onversleuteld over het netwerk laten sturen.
Peter
Als voorbeeld:
Twee jaar geleden gaf de voorbeeld instelling van Ziggo de procedure voor onbeveiligd zenden en ontvangen. Vorig jaar waren de instellingsvoorbeelden voor verzenden wel via ssl, maar voor ontvangen nog steeds niet. (Hoewel het ook daar ondersteund werd).
Ik heb net weer even op de Ziggo site gekeken en het instel voorbeeld voor Apple Mail gevolgd. Nu geven ze wel de beveiligde instellen voor zowel zenden als ontvangen. Dus men leert, alleen de meeste gebruikers gaan niets meer veranderen in werkende instellingen.
In de meeste systemen kun je dat server-side afdwingen. Een uitgebreide campagne en dan na een tijdje TLs verplichten.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
