De aanval probeerde te maken van de 100.000 s van routers onderdeel van een botnet.
Beeld: iStock
Zelfs een van de eenvoudigste vormen van cyberaanval heeft het potentieel catastrofale schade; een grote DDoS-aanval van een leger van gekaapte toestellen in staat te kloppen netwerken offline, waardoor organisaties en hun klanten geen toegang tot diensten.
De impact van een dergelijke aanval werd duidelijk gemaakt door de Mirai botnet incident eind vorig jaar. Het Mirai botnet gebruikt dagelijks het internet aangesloten apparaten, zoals routers en security camera ‘ s, om grote delen van het internet op de knieën, vertragen of regelrechte neerhalen van populaire websites en diensten.
Maar dat was niet het einde van Mirai ‘ s opzet. Een maand later een miljoen internet gebruikers in Duitsland werden gegooid offline eind November als onderdeel van een gecoördineerde cyberaanval die ook de invloed van het verenigd koninkrijk, Ierland, Turkije, Iran en Brazilië, onder anderen.
Internet provider Deutsche Telekom droeg de last van veel van de aanval binnen de duitse grenzen. Matthias Rosche, SVP van de oplossing van advies en verkoop aan Deutsche Telekom telecom security group, beschreef het als “de grootste aanval” tegen de vennootschap die een “grote” invloed op het klantenbestand.
Bijna vijf procent van de 20 miljoen klanten last van internet storingen als gevolg van het botnet-aanval, die gericht ZYxel en DLink routers, gebruik te maken van een open poort. In totaal 900.000 miljoen routers werden getroffen door de aanval.
De aanval was niet in staat om gegevens te stelen, maar het nog steeds enorme problemen, resulterend in 30 uur downtime voor 900.000 miljoen internet-aansluitingen in de woningen en bedrijven in heel Duitsland.
“Wat we zagen was dat er specifieke routers die had vraagstukken en problemen. Op zoek naar de statistieken, zagen we dat een groot aantal ging onmiddellijk naar beneden,” Rosche zei, sprekend op een conferentie georganiseerd door het beveiligingsbedrijf Check Point in Milaan.
De malware een link opgenomen ontworpen voor het uploaden van kwaadaardige software op de apparaten om ze aan te sluiten aan het botnet, maar Deutsche Telekom al snel verhuisd naar het minimaliseren van de kans op beschadiging van deze bedreiging.
“We begonnen te onderzoeken in de aanval en bedacht er was een download link te uploaden naar kwaadaardige software. Dus het eerste wat we deden was blok dat om ervoor te zorgen dat, zelfs als de infectie succesvol is, kan niets worden geüpload vanaf dat specifieke koppeling,” zei Rosche.
Het bedrijf security team het opzetten van een oorlog enkel om de activiteiten te coördineren en blok het belangrijkste doel van de open poort in het netwerk, om te zorgen dat er geen aanslag zou kunnen richten op het meer, legde hij uit.
In aanvulling op deze, een overeenkomst tussen Deutsche Telekom en de router leveranciers bedoeld zodra de telecom bedrijf wist het sluiten van de kwetsbaarheid, namen ze contact op met de leveranciers en voorzien van de informatie die nodig is voor update apparaten en hen te beschermen tegen het botnet.
“Binnen 12 uur hadden we een nieuwe versie van de software beschikbaar voor onze routers,” zei Rosche, toe te voegen dat gebruikers zijn geïnformeerd hadden ze om de beurt routers op en weer af en om zichzelf te beschermen tegen de aanval.
“Dit was een eenvoudige patch-proces en we waren blij dat dit was onze slechtste geval,” zei hij over het incident.
Als de aanval helemaal was gelukt, het resultaat zou zijn geweest dire en een gevaar voor het internet.
“Het is een eenvoudige berekening. We hadden een nieuw botnet van 1,8 terabits per seconde, dat is groot genoeg voor het uitvoeren van een DDoS-aanval op een staat in de wereld. Dit zou het meest krachtige wapen op het internet, het zou ongelooflijk,” zei Rosche.
“We zijn excuses aanbiedt aan onze klanten en van de vragen die we hadden om ons af te vragen was: ‘Kunnen wij garanderen dat dit zal niet weer gebeuren in de toekomst?’ Het antwoord is ‘waarschijnlijk niet’. Maar we zijn voorbereid”, zei hij.
LEES MEER OVER CYBERSECURITY
Geschiedenis herhalen: Hoe het IoT is niet te leren van de veiligheid lessen van de pastInternet-verbonden apparaten zullen altijd een risico, zeggen de deskundigen [CNET]Is ‘admin’ wachtwoord van achter uw Ivd-apparaat kwetsbaar voor cyberaanvallen? Binnenlandse Veiligheid waarschuwt voor ‘BrickerBot’ malware die vernietigt onbeveiligd op het internet aangesloten devicesEverything oud is weer nieuw: Experts voorspellen een overstroming van een denial-of-service-aanvallen [TechRepublic]