CYSSEC Blog: "Botnet - wanneer een leger van geïnfecteerde IoT apparaten aanvalt”

“Botnet: wanneer een leger van geïnfecteerde IoT apparaten aanvalt”

Wat is een botnet?
Een botnet is een verzameling van (met het internet) verbonden apparaten, die geïnfecteerd zijn. Botnets werken als het ware als een ‘multiplier’: geïnfecteerde apparaten worden gegroepeerd om zo gezamenlijk ingezet te worden voor een aanval. Botnets worden door verschillende actoren ingezet, zoals individuele hackers, cyber-criminele groeperingen en staten die allemaal uit zijn op het verstoren van de systemen van hun doelwit. Het wordt met name ingezet voor DDoS-aanvallen (Distributed Denial of Service), waarbij in één keer een grote hoeveelheid internetverkeer naar een bepaald doelwit wordt gestuurd (bijvoorbeeld naar een bepaalde website), waardoor deze overspoeld raakt en vastloopt.

Het Mirai botnet
Kwaadwillenden bouwen botnets door ‘verbonden apparaten’ te infecteren met malware. Wanneer een apparaat op een bepaald netwerk is gecomprimeerd lopen alle kwetsbare apparaten op dat netwerk het risico om geïnfecteerd te worden. Dat een botnet verwoestende gevolgen kan hebben werd duidelijk tijdens het Mirai-incident (welke wij al kort noemde in onze vorige blog). In 2016 legde het Mirai-botnet een groot deel van het internet stil, waaronder Twitter, Netflix en CNN. Het botnet maakte misbruik van onbeveiligde IoT-apparaten (Internet of Things), zoals beveiligingscamera’s en ‘smart koelkasten’. Op deze apparaten installeerden zij malware en hiermee vielen zij vervolgens de (DYN)servers aan die het internetverkeer geleiden. Dit incident schudde de industrie wakker over het gevaar van botnet-aanvallen.

Mirai was helaas slechts het begin. In het najaar van 2017 ontdekten onderzoekers een nieuw botnet, bekend onder de namen ‘IoT Troop’ en ‘Reaper’ (hierna ‘Reaper’). Mirai infecteerde kwetsbare apparaten door gebruik te maken van de standaard gebruikersnamen en wachtwoorden van deze apparaten. Wanneer men (bijvoorbeeld) een printer of ‘slimme thermostaat’ koopt, verandert men vaak niet de standaard inloggegevens die het product heeft bij levering. Reaper gaat verder en gebruikt software-hacking technieken om bij appraten in te breken. Bij Mirai ging het dus om het vinden van open deuren en bij Reaper gaat het om om actief sloten kraken. Reaper is ingezet bij de aanvallen op ABN Amro, Rabobank en ING in 2017.
Botnets blijven zich ontwikkelen en bovengenoemde varianten zijn slechts voorbeelden. Emotet en Echobot zijn twee andere botnets die de nodige schade hebben aangericht (en nog meer zouden kunnen aanrichten).

Wat wordt er gedaan om aanvallen van botnets te stoppen?
Het platleggen van een botnet is een uitdaging en dit ligt met name aan het feit dat er zeer veel kwetsbare apparaten beschikbaar zijn en het lastig is om geïnfecteerde apparaten offline te halen. Voorheen voelden producenten weinig stimulus om de beveiliging van hun apparaten te veranderen, omdat zij over het algemeen niet werden geconfronteerd met de gevolgen van de verkoop van kwetsbare apparaten. Dit is over de jaren heen gelukkig veranderd. In de Verenigde Staten zijn enkele producenten bijvoorbeeld beboet. Een voorbeeld hiervan is een zaak uit 2017, waarbij de Amerikaanse ‘Federal Trade Commission’ D-Link (een grote producent van netwerkproducten – en diensten) aanklaagde voor de verkoop van routers en IP-camera’s die volzaten met bekende en voorkombare beveiligingsgebreken. Veel van deze zaken worden echter afgewezen omdat men niet (specifiek) kan aantonen dat consumenten daadwerkelijk nadeel hebben ondervonden. Ook is het opsporen en vervolgen van de makers van een botnet lastig.

De verschilende uitdagingen van een botnet
Een consument heeft vaak meerdere apparaten die dezelfde verbinding delen en ondernemingen hebben vaak duizenden apparaten, wat het lastig maakt om geïnfecteerde apparaten te isoleren. Vaak worden bepaalde apparaten niet meer ondersteund en is patchen niet mogelijk. Deze apparaten zijn echter doorgaans nog wel bruikbaar, waardoor de eigenaren niet de noodzaak voelen om ze weg te gooien en een nieuwe te kopen. De eigenaar weet vaak niet eens dat het apparaat is geïnfecteerd en deel uitmaakt van een botnet. Consumenten hebben niet altijd de beveiligingsmaatregelen in huis om botnet-activiteiten te montoren op hun persoonlijke netwerk. Ondernemingen hebben meer tools ter beschikking, maar voor hen is het opsporen van botnets vaak geen prioriteit. Producenten die een gebrek in hun IoT-apparaten ontdekken die ze niet kunnen patchen kunnen de apparaten terugroepen (wat bijna nooit gebeurt). Maar zelfs als zo’n terugroepactie wordt uitgezet zullen er veel consumenten zijn die deze oproep negeren omdat ze het geen groot probleem vinden (en het vaak niet begrijpen).

Hoe kunnen organisaties botnet-aanvallen voorkomen?
- De allerbelangrijkste vuistregel is “voor altijd je updates uit”. Botnets maken misbruik van ongepatchte kwetsbaarheden en verspreiden de malware zo van apparaat tot apparaat, om zo maximale schade aan te richten. De eerste lijn van defensie is om alle systemen continu te updaten. Automatische updates verdienen de voorkeur, maar als dit niet mogelijk is dan geldt in ieder geval het advies om updates zo snel mogelijk te installeren nadat zij beschikbaar zijn geworden. Sommige organisaties stellen updates uit tot ze de tijd hebben gehad om compatibiliteit en andere factoren te controleren. Dit kan tot significante vertragingen leiden. Soms worden systemen zelfs compleet vergeten en nooit geupdate. Zorg daarom dat al jouw applicaties en systemen automatisch worden geupdate, óók de hardware-apparaten. Legacy producten worden wellicht niet langer geupdate en daarom wordt dan ook geadviseerd om het gebruik van deze producten te staken.
- Implementeer multifactor-authenticatie en een duidelijk beleid voor toegangscontrole (Identity Access Management). Als eenmaal één apparaat is geïnfecteerd, kan een botnet zich sneller verspreiden naar anderen apparaten door het inzetten van inloggegevens. Door de toegang te blokkeren kan een botnet worden beperkt tot één locatie, waar het minder schade aanricht en makkelijker uitgeroeid kan worden.
- Ga de strijd niet alleen aan! Er zijn veel gebieden en onderwerpen waarbij organisaties zouden profiteren van kennisdeling en externe hulp, bijvoorbeeld in de vorm van een CERT, overheidsdienst, leveranciers-platformen, of een initiatief zoals CYSSEC!