Politie haalt IoT-botnetservers offline en arresteert verdachten
De politie heeft vijf servers offline gehaald die werden gebruikt voor het aansturen van een Internet of Things-botnet. Tevens zijn twee mannen aangehouden op verdenking van computervredebreuk en het verspreiden van malware. Het ging om een variant van de beruchte Mirai-malware die IoT-apparaten besmet.
Het IoT-botnet werd gebruikt voor het uitvoeren van ddos-aanvallen tegen websites en betaaldiensten, aldus de politie. Ook zochten de besmette apparaten naar andere kwetsbare systemen. Rechercheurs van de Dienst Landelijke Recherche kwamen de servers op het spoor door informatie van het Nationaal Cyber Security Centrum (NCSC).
De informatie leidde naar een Nederlands hostingbedrijf dat gebruikmaakte van servers in een Amsterdams datacentrum. Over het betreffende hostingbedrijf werden in een periode van een jaar ruim drieduizend meldingen gedaan van malwareverspreiding. De servers zijn offline gehaald en worden nu onderzocht door de politie. Er zal onder andere worden gekeken voor welke ddos-aanvallen het botnet verantwoordelijk was.
De Mirai-malware maakt onder andere gebruik van standaardwachtwoorden om zich te verspreiden. De politie adviseert eigenaren van IoT-apparaten dan ook om het standaardwachtwoord van hun devices te wijzigen. In het geval van besmette IoT-apparaten is de malware te verwijderen door het apparaat in kwestie te herstarten. De twee aangehouden mannen komen uit Veendam en Middelburg en zijn respectievelijk 24 en 28 jaar.
Er staat ook eentje waar ik voor gewerkt had, die ook alles accepteerde kwa klanten, zolang ze maar betaalde.
Dagelijks DDoS en downtime...
Ben benieuwd om welke hosting partij en datacenter het ging.
Een standaardwachtwoord zou verboden moeten worden. Alleen het wachtwoord wijzigen is nog lang niet genoeg. Na het internationale debacle met hun maandenlang lekkende VPN applicatie heeft Pulse Secure iets goed te maken: een "IoT Best Practices Guide", dus begin maar met lezen van hun IoT whitepapers.
https://www.pulsesecure.net/resource/iot-best-practices-guide/
Ga zo door dames en heren.
Mijn steun hebben jullie!
Ze hangen ook alles maar aan Interwebz, want makkelijk te beheren toch, bijvoorbeeld die firma led verlichting,
een IoT lampje besmet hele firma-infrastructuur besmet, het gaat letterlijk rond als "een lopend IoT bot-vuurtje".
Gemak dient de mens en dus ook de cybercrimineel en de onverantwoordelijke producent
van al die rotzooi in de wegwerpmaatschappij.
Wel mauwen om een bitterballetje meer of minder vanwege de ingezette klimaatgekte,
maar deze reuzendreiging laat men voortwoekeren.
Het lijkt wel of men van onveilige situaties geniet, of men erop kickt a.h.w.
Standaard wachtwoorden ook bij JAVA development,
je upgrades werken ineens niet meer,
want je moet eerst een java-wachtwoord invoeren bij het juiste protocol,
anders blijft alles bij het oude en dus onveilig.
Alles is niet zo vanzelfsprekend.
"Leer om te weten, weet om te kunnen en slagen zal je loon zijn".
Wat een ongelooflijke droeftoeters dus, die Mirai aanstuurders.
Kijk eens op URLhaus: https://urlhaus.abuse.ch/
onder database bij het overzicht van deze litanie
en verbaas je over de omvang van deze ellende.
Of meldt zelf daar anoniem de malware URLs, die je tegenkomt.
Jodocus Oyevaer
Het politiebericht doet daar geen uitspraken over. Vermoed dat het een bijvangst is, gedaan bij de Nederlands-Duitse opruimactie van de Amsterdamse restanten van de "CyberBunker", van ex-kraker Sven K. en consorten.
https://tweakers.net/nieuws/157934/nederlander-achter-cyberbunker-was-eigenaar-gesloten-datacenter-in-navo-bunker.html
Het politiebericht doet daar geen uitspraken over. Vermoed dat het een bijvangst is, gedaan bij de Nederlands-Duitse opruimactie van de Amsterdamse restanten van de "CyberBunker", van ex-kraker Sven K. en consorten.
https://tweakers.net/nieuws/157934/nederlander-achter-cyberbunker-was-eigenaar-gesloten-datacenter-in-navo-bunker.html
Ook volgens de NOS is de hoofdverdachte de 59-jarige Nederlandse beheerder, van het voormalige NAVO bunker terrein van Traben-Trarbach, een zekere Herman-Johan X, de vroegere eigenaar van de oude bunker in het Zeeuwse Kloetinge
https://nos.nl/artikel/2305170-verdachten-datacentrum-navo-bunker-groep-anarchisten-die-aan-alles-lak-heeft.html
Het onderzoek naar de Duitse bunker liep al sinds 2015. Volgens de Duitse politie kan het vervolg, voor het uitlezen van de geconfisqueerde servers, nog maanden tot jaren gaan duren.
Opmerkelijk is dat krebsonsecurity.com inhoudelijk goed ingelicht lijkt te zijn over deze zaak. Het kan daarom wel eens een Atlantisch gecoordineerde Interpol actie zijn geweest, een agenda om dit soort praktijken uit te bannen.
Aangezien Duitsland de nucleaire achtertuin van de Amerikanen is, en ze de ontplooiing van dit soort criminele bedrijfsvoeringen daar niet kunnen pruimen, is in dit verband de volgende berichtgeving zeker ook van belang:
https://www.security.nl/posting/626782/Onderminister+VS%3A+end-to-end-encryptie+zorgt+voor+wetteloze+plekken
Klein detail. Het was Europol, maar ga er gemakshalve maar van uit dat kopieën van de harde schijven van die servers inmiddels ook zijn gedeeld met de NSA. Die zijn vast ook heel blij mee.
De Duitse politie zat al sinds eind 2018 in de systemen van de CyberBunker, vermoed ik. De inloggegevens van "Wall Street Market" zijn begin mei 2019, na een "exit scam", op een ander ondergronds forum uitgelekt:
https://www.security.nl/posting/607514/Duitse+politie+haalt+online+marktplaats+Wall+Street+Market+offline
Na de laatste actie is er ook een paar dozijn andere ondergrondse fora opgedoekt, waaronder "Cannabis Road", het Zweedstalige "Flugsvamp" en de pillenboer "Orange Chemicals". Er zijn 13 arrestaties verricht, waaronder 1 vrouw.
Daar komen nog de 2 arrestaties in Nederland bij. De polizei persvoorlichting van het Landeskriminalamt Rheinland-Pfalz maakt er gewag van dat ze de georganiseerde cybercriminaliteit een zware slag zouden hebben toegebracht:
LKA-RP: Schwerer Schlag gegen Cyberkriminelle
https://www.presseportal.de/blaulicht/pm/29763/4387169
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
