NCSC ontdekt 150 besmette routers in Nederland die onderdeel van botnet zijn
Het Nationaal Cyber Security Centrum (NCSC) heeft in Nederland honderdvijftig ‘small office and home office’ routers (soho-routers) geïdentificeerd die onderdeel van botnets zijn. Het grootste deel daarvan bevindt zich in Zuid-Holland. Voor eigenaren van ASUS-routers heeft de overheidsinstantie via GitHub een script beschikbaar gemaakt om de aanwezigheid van kwaadaardige processen en bestanden op het apparaat te controleren.
De routers in kwestie zijn besmet met TheMoon-malware en Alogin-botnetmalware, zo laat het NCSC in een analyse weten. De malwarefamilies werden ontdekt tijdens onderzoek naar verdachte activiteiten op ASUS-netwerkrouters van bedrijven en consumenten. Zowel particulieren als bedrijven gebruiken deze routers voor hun internetverbinding.
"Het betreft hier expliciet de apparatuur die consumenten en bedrijven zelf openstellen richting het internet en niet netwerkapparatuur die verstrekt is door internetproviders", zo stelt het NCSC. Het verdachte internetverkeer kwam aan het licht doordat de ip-adressen van deze routers gerapporteerd werden wegens veelvuldige authenticatiepogingen op ssh-servers. Ook werd duidelijk dat deze routers deel uitmaakten van het Alogin-botnet dat uit besmette Asus-routers bestaat.
Het NCSC kon met toestemming van een eigenaar van een besmette ASUS-router de malware veilig stellen en vervolgens onderzoek doen. De analyse daarvan is een blogposting beschreven. Daarin doet de overheidsinstantie ook aanbevelingen, waaronder het tijdig installeren van firmware-updates, vervangen van end-of-life apparaten en het niet direct blootstellen van netwerkapparaten aan internet zonder juiste beveiligingsmaatregelen. Daarnaast werkt het NCSC samen met partners om contact op te nemen met en meldingen te sturen naar getroffen gebruikers.
Yep.
Hoewel uit de analyse :
Het had waarschijnlijk nog beter gekund (packetfilter / geen management poorten), maar duidelijk niet alles fout gedaan.
Yep.
Hoewel uit de analyse :
Het had waarschijnlijk nog beter gekund (packetfilter / geen management poorten), maar duidelijk niet alles fout gedaan.
Zelf heb ik ook een eigen router maar juist met de reden dat ik de firewall zelf wil beheren en dat ik kan monitoren welk verkeer er richting mijn router gestuurd wordt.
Maar als je een ISP modem vervangt door een 12 jaar oude wifi router, dan vraag je ergens ook wel om p0wn2own wedstrijdje.
Sterker nog, die ligt nog te stoffen in mijn oude nachtkastje... staat waarschijnlijk wel een andere firmware op dan die brakke rommel van asus... heerlijke laptops, maar firmware in routers... sjonge, wat een kleuterniveau programmeerwerk is dat zeg.
Verder ook goede dankbetuiging met credits naar de (onbekende) personen die het botnetwerk hebben opgemerkt.
En 'Bovenal: De familie die ons team in hun huis verwelkomde en ons toestond om een forensische analyse uit te voeren in hun woonkamer'.
Het zal maar voor de deur staan...
Dan geloof je het bijna niet, een overheid instelling die wel bij de burger thuis komt, haha.
Gebruiken van modem maakt gewoon bijna geen ene reet uit van wie of wat je gebruikt. Het is de router deel wat het verkeer regeld. Bij ISP worden ze vaak als 1 apparaat geleverd, ik ben van de oude stempel en daardoor heb ik al een hekel aan 2 in 1 apparaten, is het ene stuj, dan heb je het andere ook niet meer om te gebruiken, dus ik heb modem en routwr gewoon los. Bij Delta heb ik dus een eigen modem moeten kiezen. En dan de router gedeelte, is leuk een alles in 1 apparaat van de ISP, maar daardoor zouden ze in theory, maar ook in praktijk als ze dat zouden willen, altijd met je mee kunnen neuzen met wat voor apparaten er op het netwerk zit gekoppeld en wie wat waar doet. Met een eigen routen kab met hooguit de data zien tussen de router en het internet en die welk apparaat wat doet. Naar mijn mening worden we al genoeg in de gaten gehouden en hier pas ik voor.
Dat zeggende te hebben, ja als router eigenaar met de eigen router is het wel belangrijk om de router regelmatig te laten checken op updates om hem wel up-to-date te houden. Maar dat is voor mij net zo logisch als elke dag moeten eten, drinken en slapen om je lichaam gezond te houden!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.