Beheer

Security
iot octopus

IoT-apparaten vooral gehackt om DDoS-aanval mee te doen

Slechte beveiliging 'slimme dingen' maakt het hackers erg makkelijk.

© pixabay
26 september 2016

Slechte beveiliging 'slimme dingen' maakt het hackers erg makkelijk.

Wie bang is dat cybercriminelen de slimme meter hacken om te zien of hij op vakantie is zodat ze kunnen inbreken, kan voorlopig rustig ademhalen. Criminelen hacken apparaten uit het Internet of Things vrijwel alleen om ze te gebruiken voor DDoS-aanvallen.

Dat constateren onderzoekers van beveiliger Symantec. Er wordt steeds meer malware ontwikkeld die er op gericht is IoT-apparaten te besmetten en onderdeel te maken van botnets waarmee DDoS-aanvallen worden gedaan. Een voorbeeld daarvan is een recente aanval waarbij een grote DDoS-aanval werd gedaan met behulp van drie soorten botnets, waaronder een die bestond uit bewakingscamera’s. Malwaremakers voor IoT-dingen lijken niet geïnteresseerd om de apparaten zodanig te besmetten dat ze er de gebruiker zelf mee kunnen aanvallen.

Voor aanvallers zijn de IoT-apparaten zeer aantrekkelijk omdat het er zo veel zijn én omdat de beveiliging ervan vaak slecht is waardoor ze eenvoudig te besmetten zijn. Die beveiliging is zo slecht door de beperkingen in het besturingssysteem en de verwerkingskracht. Updates worden er zelden voor gemaakt en nog veel minder vaak doorgevoerd. Veel gebruikers merken de besmettingen ook niet op.

Hoe werkt het

De meeste IoT-malwarefamilies hebben veel vergelijkbare aspecten. Zo geschiedt de distributie via een scan op IP-adressen met open Telnet- of SSH-poorten, gevolgd door een brute force poging om in te logen met veelgebruikte wachtwoorden.

Een hindernis zou kunnen zijn dat er zo veel verschillende architecturen zijn voor de IoT-apparaten. Dat dat ondervangt de malware echter door heel veel bot executables te downloaden en die een voor een te draaien tot ze de juiste te pakken hebben die op het apparaat draait dat ze proberen te besmetten.

Dan wordt er een shell script gedownload dat op zijn beurt de bot binaries downloadt. Zodra die zijn uitgevoerd, wordt een verbinding gelegd met een C&C-server die wacht op de commando’s van een remote bot master.

De malware voor IoT wordt aan de ene kant geavanceerder. Aan de ander kant kunnen de malwaremakers zich het technisch makkelijk maken dankzij de uiterst matige beveiliging. Zo volstaan erg voor de hand liggende zwakke wachtwoorden en gebruikersnamen om in te loggen op de apparaten: admin, root, 123456 en 12345 en uiteraard password en test, constateert Symantec. Opvallend is dat de Raspberry Pi ook een gewild doelwit aan het worden is omdat default gebruikersnaam Pi en default wachtwoord Raspberry van deze computer in de top 10 van de aanvallers staan.

Opmerkelijk is dat vijf procent van aanvallen op uit Nederland komen. Daarmee behoort Nederland tot de 5 landen waar de meeste aanvallen vandaan lijken te komen. De andere landen zijn China, Rusland, Duitsland en Oekraïne. Het gaat hier om de locatie van de IP-adressen die gebruikt worden om DDoS-aanvallen op een honeypot van Symantec te lanceren.

Beveiligingstips

  1. Zoek vóór de aanschaf uit wat de beveiligingsfunctionaliteit is van het IoT-apparaat
  2. Doe een audit op de IoT-apparaten die op het bedrijfsnetwerk worden gebruikt
  3. Wijzig de default inlogcodes voor sterke en unieke wachtwoorden.
  4. Gebruik een sterke encyptiemethode bij het aansluiten van WiFi-netwerken
  5. Zet de Telnet-login uit en gebruik zo veel mogelijk SSH
  6. Kies zoveel mogelijk voor bedrade verbindingen
  7. Zet functies en services uit, die niet nodig zijn
  8. Controleer regelmatig de site van de leverancier op een mogelijke firmware-update

 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.