Beheer

Security
iot

Nieuwe versie Mirai kan 41 miljoen routers besmetten

Mirai besmette vorige week 900.000 routers van Deutsche Telekom. Maar dat kunnen er nog veel meer worden.

30 november 2016

Mirai besmette vorige week 900.000 routers van Deutsche Telekom. Maar dat kunnen er nog veel meer worden.

De aanval op de 900.000 routers van Deutsche Telekom eerder deze week is onderdeel van een veel grotere wereldwijde aanval op routers. Zo’n vijf miljoen apparaten in zeker tien landen zijn ook het slachtoffer van de criminelen. De malware Mirai waarmee de aanval is uitgevoerd, is echter zo gewijzigd dat rond de 41 miljoen routers het risico lopen ermee besmet te raken.

Zo’n 900.000 routers van Deutsche Telekom werden vorige week besmet door de Mirai-malware. Daardoor kregen honderdduizenden klanten te maken met storingen afgelopen weekend. Voor de aanvallen werd gebruik gemaakt met de Mirai-malware, die vorige maand ook gebruikt werd voor een enorme DDoS-aanval op DNS-dienstverlener Dyn. Mirai is erop gericht botnetten te vormen van IoT-apparaten. Voor de nieuwe serie aanvallen is een nieuwe vorm van Mirai gebruikt. Dat was voor de aanvallers noodzakelijk omdat de beveiliging tegen de oude versie verbeterd is.

10 landen

Deutsche Telekom en diverse beveiligers hebben bevestigd dat ook routers in andere landen zijn aangevallen. Volgens beveiliger Rapid7 gaat het om aanvallen in Ierland en Groot-Brittannië. Het Ierse telecombedrijf Eir en Vodafone Group in Groot-Brittannië werken met de routers die kwetsbaar waren voor de aanvalsmethode die de hackers gebruikt hebben tegen Deutsche Telekom. Beveiliger Flashpoint stelt dat ook in Brazilië routers zijn aangevallen. Maar ook in Thailand, Iran, Chili, Australië, Argentinië en Italië en Turkije.

Volgens Flashpoint gaat het om een nieuwe variant van de malware Mirai, die zich richt op IoT-apparaten en daarvan botnets vormt die gebruikt kunnen worden voor DDoS-aanvallen. De nieuwe variant moet er voor zorgen dat met Mirai meer apparaten besmet kunnen worden. Door de enorme populariteit van Mirai onder criminelen is de oude variant voor hen niet meer efficiënt genoeg om veel apparaten te kunnen besmetten. Ook de beveiliging tegen de oude variant nu sterk verbeterd.

Port 7547

De eerdere versies werkten met default wachtwoorden die nog op veel apparaten stonden. De nieuwe variant maakt gebruik van bekende lekken die nog niet gepatcht zijn. Daarbij gebruikt Mirai enkele protocollen via port 7547, die volgens Flashpoint in het ergste geval bij 41 miljoen apparaten open staat.

Inmiddels treffen de getroffen bedrijven ook maatregelen om zich tegen de nieuwe versie van Mirai te beschermen. Bij de aanval op Deutsche Telekom werden drie types routers van het Taiwanese Arcadyan Technology besmet. Die bevatten nog veel oude lekken. Arcadyan heeft hiervoor maandag patches uitgebracht. Deutsche Telekom heeft ook al enkele firmware-updates uitgerold voor de getroffen routers en heeft er nog meer aangekondigd.

Het Ierse Eir meldt dat het modems gebruikt van ZyXel voor 30 procent van zijn klanten. Het bedrijf zegt zich bewust te zijn geweest van de mogelijke lekken en daarvoor oplossingen te hebben toegepast op de apparaten en op netwerkniveau.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.