image

"DDoS-dienst draait op duizenden gehackte thuisrouters"

zaterdag 10 januari 2015, 07:05 door Redactie, 12 reacties

Een DDoS-dienst die onlangs werd gelanceerd blijkt op duizenden gehackte thuisrouters te draaien. Het gaat om de "Lizard Stresser" van de groep "Lizard Squad". Deze groep voerde tijdens de afgelopen kerst aanvallen op het Sony PlayStation Network en Microsoft Xbox Live uit, waardoor beide netwerken enige tijd onbereikbaar waren. Een aantal dagen na de aanvallen liet de groep weten dat het om een promotiestunt ging, als aankondiging van hun DDoS-dienst.

Daarmee kunnen mensen tegen betaling DDoS-aanvallen op websites laten uitvoeren. Na de aanvallen werden twee vermeende leden van de groep door de autoriteiten opgepakt. IT-journalist Brian Krebs meldt nu dat de DDoS-dienst van de aanvallers op duizenden gehackte thuisrouters draait. De malware die voor het overnemen van de systemen werd gebruikt zou in november vorig jaar voor het eerst door het Russische anti-virusbedrijf Doctor Web zijn beschreven.

Naast het uitvoeren van DDoS-aanvallen tegen websites zorgt de malware er ook voor dat besmette routers naar andere routers op internet zoeken. Zodra er een router is gevonden wordt er geprobeerd om met standaardwachtwoorden in te loggen. Is de aanval succesvol, dan wordt de malware geïnstalleerd en herhaalt de cyclus zich. Volgens onderzoekers bestaat het botnet van de Lizard Squad volledig uit thuisrouters. Inmiddels zou er met internetproviders en opsporingsdiensten worden samengewerkt om de besmette systemen uit de lucht te halen.

Reacties (12)
10-01-2015, 11:34 door Anoniem
Ik moet zeggen: slim van de jongens.

Een ADSL/Kabel modem staat altijd aan. Deze is lastig te monitoren op verdacht verkeer.
Dus veel mensen weten niet eens dat ze onderdeel zijn van een DDoS netwerk zijn

Het is nu wachten totdat dit met smarttv's gebeurt. Die staan ook altijd bijna aan (standby) en het is bekend dat de beveiliging bagger is. Vorig jaar al de eerste (illegale) (bitcoin) miner gevonden op smarttv's.

TheYOSH
10-01-2015, 12:46 door Anoniem
Iemand enig idee hoe dit te verifieren is?
10-01-2015, 13:13 door Joep Lunaar
Zou zomaar een hoax kunnen zijn.
Het verhaal ontbeert details die je wel zou mogen verwachten zoals welk type routers hiervoor kwetsbaar zijn en dat moet naar mijn inschatting dan een router zijn die over voldoende RAM beschikt, beheer over de WAN interface toestaat (zijn er niet zoveel) en waarvan het bestandssysteem deels schrijfbaar is én uitvoering van bestanden daarop toestaat (ook dit zullen er niet veel zijn).
10-01-2015, 13:40 door Anoniem
Dus iedereen goed opletten dat er niet ineens rare hoedjes op je thuisnetwerkje zich verstoppen hoor.
10-01-2015, 14:09 door Anoniem
Door Joep Lunaar: Zou zomaar een hoax kunnen zijn.
Het verhaal ontbeert details die je wel zou mogen verwachten zoals welk type routers hiervoor kwetsbaar zijn en dat moet naar mijn inschatting dan een router zijn die over voldoende RAM beschikt, beheer over de WAN interface toestaat (zijn er niet zoveel) en waarvan het bestandssysteem deels schrijfbaar is én uitvoering van bestanden daarop toestaat (ook dit zullen er niet veel zijn).

Kijk hier eens naar: https://www.youtube.com/watch?v=gFP5YcvQsKM

Dit is maar één manier om een router binnen te komen. Dit bewijst natuurlijk niks over de 'Lizard Stresser' maar het geeft wel aan dat het mogelijk is op een zeer groot aantal routers.
10-01-2015, 14:59 door Anoniem
Door Anoniem @12:46: Iemand enig idee hoe dit te verifieren is?

Als je een thuisrouter hebt die een ingebouwde WireShark/Capture-tool heeft, dan kan je dat heel makkelijk zelf verifiëren.

Bij een FritzBox kan dat dat b.v. hier: http://fritz.box/html/capture.html
Screenshot: http://www.tecchannel.de/bild-zoom/2039019/1/2157120/d2e270-media/
10-01-2015, 15:36 door Anoniem
Er zijn heeeeel veel brakke SOHO routers in omloop. Als er al een firmware update zal dit de gemiddelde consument niks zeggen dus blijft men kwetsbaar. Kijk maar eens op exploit-db naar de verschillende merken b.v. TP-Link, Asus, D-Link, Prolink, etc. Alle monitoring / antix zit meestal aan de LAN kant van het apparaat dus die zal geen aanval op de WAN poort detecteren.
10-01-2015, 17:33 door Anoniem
Ik had laatst > 10k verbindingen op m'n openwrt router staan zonder dat ik deze maakte.
Met netstat -a gekeken op al mijn computers alsook via ssh op de router, maar daar zag ik ze niet terug.
Kan ik met wireshark verbindingen zien die ik met via netstat op de router niet zou zien?
10-01-2015, 19:48 door Anoniem
"Het is nu wachten totdat dit met smarttv's gebeurt. Die staan ook altijd bijna aan (standby) en het is bekend dat de beveiliging bagger is. Vorig jaar al de eerste (illegale) (bitcoin) miner gevonden op smarttv's."

Veel brakke routers staan open aan WAN en zijn toegankelijk met standaard pass+ww. Dat is niet het geval met TV's achter een router, op wat upnp varianten na.
10-01-2015, 23:16 door Anoniem
Beste is een router te nemen met een firewall er in.
11-01-2015, 12:50 door Anoniem
Door Anoniem: Beste is een router te nemen met een firewall er in.
Ja tuurlijk.
Alleen, WERKT die firewall wel?
Kun je dat op de een of andere manier controleren?
In de praktijk blijkt dat die dingen vaak stuk zijn, dan waan je je veilig maar is de boel zo lek als een mandje.

Dat je meestal niet aan de buitenkant kunt tracen maakt het allemaal niet beter, je WEET niet eens dat je misbruikt wordt.
12-01-2015, 11:53 door Anoniem
Door Anoniem: Beste is een router te nemen met een firewall er in.

Je zal er iets tussen kunnen doen? https://itusnetworks.com/
Wat alvast filtert
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.