Internet Of Things

Internet of Things (IOT) Hacked devices

Netflix down-Internet down.. DDOS achtergrond en de relatie met Internet of Things (IOT) Hacked Camera's, DVR’s en anderen zijn de grote veroorzakers
Edit postPublished on October 24, 2016

Achtergrond informatie.
De massale en langdurige Internet aanval die vrijdag heeft plaatsgevonden heeft gezorgd voor een overbezet netwerk voor een groot aantal websites.
De veroorzakers waren gehackte "Internet of Things" (IoT) apparaten, zoals CCTV-videocamera's en digitale videorecorders welke nog voorzien waren van standaard wachtwoorden.

Cybercriminelen begonnen met hun aanval op Dyn, een Internet-infrastructuur bedrijf welke kritische IT-diensten levert aan top distributie lokaties van het Internet. De aanval begon met het creëren van problemen voor de internetgebruikers door het blokkeren van het verkeer op websites als Twitter, Amazon, Tumblr, Reddit, Spotify en Netflix.

Bijgevoegde afbeelding geeft een overzicht van de aanvallen op de Dyn internet-infrastructuur. (Bron: Downdetector.com).

In eerste instantie was het onduidelijk wie of wat er achter de aanval op Dyn zat. Maar in de loop van vrijdag heeft ten minste één computer beveiligingsbedrijf gemeld dat de aanval is veroorzaakt door Mirai, dezelfde malware stam die werd gebruikt in de aanval van september op de website van KrebsOnSecurity.

Dit betrof een zeer grote en ongebruikelijke distributed denial-of-service (DDoS) aanval ontworpen om de site offline te krijgen. De aanval is niet gelukt dankzij het harde werk van de specialisten van Akamai, het bedrijf dat zijn site beschermt tegen dergelijke DDos Cyberaanvallen. Maar volgens Akamai, het was bijna het dubbele van de grootte van de grootste aanval die zijn ooit eerder hebben gezien, en maakte meteen melding van een van de grootste aanvallen op het internet die zij ooit hebben meegemaakt. Dit was al een signaal van dat er iets stond te gebeuren in de toekomst.

Eind september 2016 heeft namelijk de hacker die verantwoordelijk is voor het creëren van de Mirai malware de broncode vrijgegeven zodat een ieder die ervan op de hoogte was in staat is zelf een aanval op te zetten met behulp van Mirai. Mirai doorzoekt het web voor IOT-apparaten die nog voorzien zijn van de vanaf de fabriek ingestelde gebruikersnamen en wachtwoorden en veranderd het device in een onderdeel van een remote controlled botnet.om zo DDos aanvallen uit te kunnen voeren.

Op het internet bevinden zich momenteel honderdduizenden IoT Devices met default settings!

Volgens onderzoekers van beveiligingsbedrijf Flashpoint, werd de huidige aanval gelanceerd op zijn minst voor een deel door een Mirai-gebaseerde botnet.

Allison Nixon, directeur research bij Flashpoint, zei dat het botnet dat in de huidige lopende aanval is opgebouwd gebruik maakt van voornamelijk gecompromitteerd digitale videorecorders (DVR) en IP-camera's gemaakt door een Chinese hi-tech bedrijf genaamd XiongMai Technologies.

De componenten die XiongMai maakt worden white label verkocht aan leveranciers die deze vervolgens gebruiken in hun eigen producten. "Het is opmerkelijk dat bijna alle producten onlangs veranderd zijn in een botnet, dat nu de Verenigde Staten aanvalt", zei Nixon, Verder heeft hij niet uitgesloten dat er mogelijk meerdere botnets betrokken zijn bij de aanval op Dyn.

Internet Beveiligings specialist Brian Krebs geeft aan dat veel van deze producten uit XiongMai en andere makers van goedkope, in massa geproduceerde IoT-apparaten een gevaar zullen blijven voor anderen, tenzij en totdat ze volledig losgekoppeld van het internet zijn. Dat komt verder omdat veel van deze apparaten door de standaard password instellingen direct bereikt kunnen worden via Telnet” en “SSH.” "Het probleem met deze specifieke apparaten is dat een gebruiker dit wachtwoord niet zelf kan veranderen"
Flashpoint's Zach Wikholm vertelde aan KrebsOnSecurity. "Het wachtwoord is hardcoded in de firmware, en de tools die nodig zijn om deze uit te schakelen zijn niet aanwezig.
Flashpoints onderzoekers zeiden dat ze met een korte kwetsbaarhedenscan op het internet al meer dan 515.000 IoT devices vonden die kwetsbaar waren. De IoT-infrastructuur is zeer gevaarlijk en verdient aandacht van iedereen die hierop actie kan ondernemen", aldus Flashpoint's Nixon.

Het is onduidelijk wat er nodig is om de veiligheidsproblemen op te lossen. Het betreft immers miljoenen onveilige IoT devices die klaar staan om misbruikt te worden voor de bovengenoemde nieuwe manier van aanvallen.

Even een mening van mijn kant (Marcel Reugebrink): Graag geef ik een waarschuwing af aan alle fabrikanten te beginnen in Nederland. We willen met z’n allen de internetveiligheid garanderen en de dreigingen van de massa-proliferatie van hardware-apparaten (lees de verspreiding van wapens, in het bijzonder internetwapens ) zoals internet routers, DVR's en IP-camera's die worden geleverd met standaard- instellingen te stoppen De groothandelaren en detaillisten van deze apparaten kunnen worden aangemoedigd om hun focus in de richting van het kopen en het bevorderen van aangesloten apparaten van een nieuw keurmerk te voorzien: Mirai-secure!

Tot die tijd zijn deze onzekere IoT apparaten een nog zeer onderschatte bedreiging voor onze samenleving. Nogmaals: Apparaten die besmet zijn met Mirai krijgen de opdracht om het internet voor IoT apparaten op meer dan 60 standaard gebruikersnamen en wachtwoorden te controleren. Dit is een (on)gecontroleerd proces vergelijkbaar met de celdeling bij organismen.

Bovenstaande informatie is mede gebaseerd op een door Brian Krebs gepubliceerd artikel. (vrijdag 21 oktober 2016 )