image

Mirai-botnet verspreidt zich via lek in thuisrouters

dinsdag 29 november 2016, 09:50 door Redactie, 3 reacties

De recente aanvallen op routers van internetgebruikers waardoor 900.000 klanten van Deutsche Telekom met storingen te maken kregen zijn het werk van een Mirai-botnet, zo meldt beveiligingsbedrijf Kaspersky Lab. De eerste versies van Mirai gebruikten nog standaard wachtwoorden die niet door de eigenaar waren veranderd om voornamelijk digitale videorecorders en ip-camera's aan te vallen.

Dit weekend werd er een nieuwe Mirai-variant waargenomen die zich op een andere manier verspreidde, aldus beveiligingsbedrijf Fox-IT. De variant maakt namelijk gebruik van een beveiligingslek in verschillende routers voor consumenten. Het gaat onder andere om de D1000-router van de Ierse internetprovider Eir. De kwetsbaarheid werd begin deze maand openbaar gemaakt. De aanval van de malware richt zich op een protocol dat providers gebruiken om de modems/routers van hun klanten op afstand te configureren.

In het geval de aanval succesvol is zal de Mirai-malware zich van het bestandssysteem verwijderen zodat die alleen in het geheugen aanwezig is. Vervolgens dicht de malware poort 7547 waardoor het binnenkwam. Hierna wordt de router gebruikt voor het scannen en aanvallen van andere kwetsbare routers. Aangezien de malware zich niet naar het permanente bestandssysteem van de router kan schrijven, zal het een herstart van het apparaat niet overleven. Fox-IT houdt nog in het midden of de nieuwe Mirai-versie voor de aanval op Deutsche Telekom verantwoordelijk is, maar volgens Kaspersky Lab is dit wel het geval.

Internetproviders krijgen het advies hun routers/modems zo in te stellen dat alleen verbindingen vanaf hun eigen managementinterface worden geaccepteerd en niet de hele wereld. Verder zouden gebruikers indien mogelijk de apparaten door een eigen router kunnen vervangen. Daarnaast kunnen gebruikers hun provider of leverancier benaderen met de vraag of er patches voor de problemen beschikbaar zijn.

Reacties (3)
29-11-2016, 10:25 door Anoniem
Het is wachten op malware welke ook de firmware aanpassen en de firmware update + admin toegang dicht zetten. Dan heb je een leuke baksteen.
29-11-2016, 11:48 door Anoniem
Zondagnacht ging opeens ook de kpn experiabox offline en het upgrade lampje branden.
Toeval?
29-11-2016, 12:20 door [Account Verwijderd] - Bijgewerkt: 29-11-2016, 12:24
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.