De groei van thingbots neemt zorgwekkende vormen aan
De aanvallen zijn veelal zogeheten Telnet brute force attacks, waarbij misbruik wordt gemaakt van het telnet-protocol om op afstand in te loggen op een apparaat en via een opdrachtregel de besturing overnemen. Aanvallen kwamen voor 44 procent uit China, gevolgd door de VS en Rusland. F5 maakt zich in het nieuwste Threat Intelligence onderzoeksrapport vooral ook zorgen om het feit dat al gedurende twee jaar dezelfde IP-adressen en netwerken worden gebruikt voor de aanvallen. Hieruit blijkt dat het kwaadwillende verkeer niet effectief wordt afgestopt of zelfs helemaal niet wordt opgemerkt.
8,4 miljard IoT-apparaten
Doelwitten van de aanvallen zijn wereldwijd verspreid. De VS, Singapore, Spanje en Hongarije staan hoog genoteerd, maar zelfs de top 10 landen kregen maar een klein percentage van de aanvallen te verduren. Dit wijst erop dat kwetsbare IoT-apparatuur over de hele wereld voorkomt en aangevallen wordt. Hoewel het aanvalsvolume aan het einde van 2017 weliswaar iets zakte ten opzichte van de eerste helft, was het nog altijd aanzienlijk hoger dan de gigantische impact die Mirai in september 2016 had, waarbij wereldwijd allerlei CCTV-apparatuur, routers, televisies en opname-apparatuur werden aangevallen. F5 concludeert dat er thingbots van allerlei afmetingen worden ontwikkeld en dat de gezamenlijke schaal groter is dan Mirai destijds.
Gartner berekende onlangs dat er nu 8,4 miljard IoT-apparaten in gebruik zijn en dat dit tot 20,4 miljard zal groeien in 2020. IHS zet dit getal op 30 miljard, semi-conductor ontwikkelaar SoftBank heeft het over een biljoen apparaten in 2035. “We zitten nog maar aan het begin”, zegt Sara Boddy, Director, F5 Labs Threat Research. “Als we nu onze ontwikkeling-standaarden niet aanpassen, nemen we onveilige IoT-apparaten in gebruik in een tempo dat twee tot drie keer hoger ligt dan nu, terwijl ze net zo snel slachtoffer kunnen en zullen worden van een aanval. Dit is een zorgwekkende ontwikkeling.”
Beheerprotocollen TR-069 en TR-064
Het Telnet-protocol is een populair middel gebleken voor IoT-misbruik. Toch blijkt uit onderzoek van F5 Labs dat cybercriminelen hun tactieken veranderen met meer snelheid en diversiteit. “Aanvallers gebruiken andere methoden om IoT-apparaten over te nemen. Deze methodes zijn technisch vrij simpel; ze vereisen maar een paar stappen extra in het aanvalsplan, en zijn gericht op minder apparatuur tegelijkertijd, omdat ze gebruik maken van niet-standaard poorten en protocollen, specifieke fabrikanten, apparaattypes of modellen”, verduidelijkt Boddy.
F5 berekende bijvoorbeeld dat minstens 46 miljoen routers voor thuisgebruik kwetsbaar zijn voor een ‘command injection’-aanval op de beheerprotocollen TR-069 en TR-064 waarmee service providers op afstand routers kunnen aansturen. De Annie-thingbot was in staat wereldwijd routers uit te zetten bij klanten van verschillende providers. Annie is een van de vijf ontdekte spin-offs, gemaakt met onderdelen van Mirai. De andere zijn Persirai, Satori, Masuta en Pure Masuta. Alleen Persirai en Satori maakten gebruik van telnet.
IoT-aanval
Sara Boddy: “Het is zeer aannemelijk dat er thingbots zijn die we nooit ontdekken, terwijl de makers inkomsten ermee genereren. Cryptomining is een goed voorbeeld van een IoT-aanval die redelijk ongezien zijn gang kan gaan zolang consumenten niet heel veel last ervan hebben.”
“Security-specialisten en machine learning en AI-ontwikkelaars moeten samenwerken om security van IoT-apparatuur op een hoger niveau te brengen”, aldus Boddy. “Bedrijven kunnen nu al actie ondernemen door kritische systemen redundant uit te voeren, zodat de continuïteit geen gevaar loopt, en multi-factor authenticatie te gebruiken om account-informatie te beschermen. Verder is decryptie van belang om kwaadaardige code verstopt in versleuteld verkeer te ontdekken.”