Het Mirai-botnet: Een blijvende dreiging in cybersecurity

Het botnet kreeg de naam "Mirai" na de ontdekking dat het voornamelijk bestond uit geïnfecteerde IoT-apparaten, van slimme camera’s tot routers. De naam is geïnspireerd op de Japanse animatieserie Mirai Nikki en is tevens een veelvoorkomende Japanse voornaam.

De kracht van Mirai ligt niet alleen in zijn omvang, maar ook in zijn vermogen om zich voortdurend aan te passen en nieuwe kwetsbaarheden te exploiteren.

Het Mirai-botnet verwierf beruchtheid door het veroorzaken van massale gedistribueerde denial-of-service (DDoS)-aanvallen, waarbij websites en online diensten wereldwijd werden getroffen. Wat begon als een relatief eenvoudige aanvalsmethode, is in de loop der jaren geëvolueerd. Steeds geavanceerdere varianten van Mirai richten zich op specifieke kwetsbaarheden in IoT-apparaten. Ondanks dat het in 2016 werd ontdekt, is Mirai nog steeds "going strong", met verschillende afgeleiden en verbeterde versies die wereldwijd schade aanrichten.

Het Mirai-botnet vormt niet alleen een bedreiging door zijn schaal, maar ook door zijn vermogen zich te verbergen, zich te herstellen en zich continu te ontwikkelen. Het blijft een groeiend probleem voor de IoT-beveiliging, waarbij kwetsbare apparaten deel kunnen uitmaken van botnets die grootschalige DDoS-aanvallen uitvoeren en uiteindelijk het hele ecosysteem kunnen verzwakken.

De verschillende afgeleiden van het beruchte Mirai-botnet zijn verantwoordelijk voor een recente stijging van DDoS-aanvallen wereldwijd.

1. Murdoc_Botnet | Een bedreiging voor Aziatische en Latijns-Amerikaanse landen

Een variant van het Mirai-botnet, genaamd Murdoc_Botnet, heeft wereldwijd aanzienlijke schade aangericht, met als voornaamste doelwitten landen zoals Maleisië, Thailand, Mexico en Indonesië. Onderzoekers van Qualys hebben aangetoond dat deze botnet-operatie, die sinds juli 2024 actief is, momenteel meer dan 1.300 IP-adressen heeft gecompromitteerd en specifiek kwetsbaarheden in Avtech-camera’s en Huawei HG532-routers uitbuit.

Door gebruik te maken van kwetsbaarheden zoals CVE-2024-7029 en CVE-2017-17215, kan het botnet schadelijke payloads downloaden naar getroffen apparaten. Bovendien worden ELF-bestanden en Shell-scripts ingezet om de malware te installeren. Het grootste gevaar is dat deze IoT-apparaten eenvoudig kunnen worden geïnfecteerd zonder tussenkomst van de gebruiker, waardoor ze onbewust bijdragen aan grootschalige DDoS-aanvallen.

2. Mirai- en Bashlite-familie botnets | Proactieve exploitatie van zwakke wachtwoorden en RCE-kwetsbaarheden

Een andere gevaarlijke variant, afgeleid van Mirai en Bashlite (ook bekend als Gafgyt en Lizkebab), richt zich op kwetsbare IoT-apparaten met zwakke wachtwoorden en Remote Code Execution (RCE)-kwetsbaarheden. Deze variant werd ontdekt door Trend Micro.

Door het uitbuiten van RCE-kwetsbaarheden kunnen kwaadwillenden op afstand, zonder fysieke toegang, schadelijke code uitvoeren. Vaak krijgen aanvallers hierdoor volledige controle over een apparaat. Dit type aanval kan leiden tot ernstige schade, zoals datalekken, apparaatcompromittering of het starten van een propagation attack (een aanval waarbij malware zichzelf verspreidt naar soortgelijke apparaten).

Deze malwarevariant schakelt de watchdog timer uit, waardoor geïnfecteerde apparaten niet opnieuw worden opgestart, zelfs niet wanneer ze zwaar worden belast door DDoS-aanvallen. Dit bemoeilijkt detectie en verwijdering.

Zodra de besmetting zich verspreidt, worden de geïnfecteerde apparaten ingezet voor grootschalige DDoS-aanvallen. De malware manipuleert Linux iptables-commando’s om detectie te vertragen en de netwerkpakketten te manipuleren die worden gebruikt bij DDoS-aanvallen. Dit benadrukt de noodzaak voor organisaties om IoT-beveiliging serieus te nemen, aangezien wereldwijd actief wordt gezocht naar kwetsbare apparaten – met de Verenigde Staten, Bahrein, Spanje en Polen als de belangrijkste doelwitten.

3. Ongeautoriseerde toegang tot MikroTik-routers | Het gevaar van foutieve DNS-configuraties

Een ander alarmerend incident betreft de hacking van meer dan 13.000 MikroTik-routers, die zijn overgenomen door cybercriminelen. Infoblox heeft deze activiteiten waargenomen en hierover gerapporteerd.

Gecompromitteerde routers worden misbruikt voor het verspreiden van malafide e-mails. Aanvallers maken hierbij gebruik van verkeerd geconfigureerde DNS-records, waardoor zij beveiligingsmaatregelen zoals e-mailbescherming kunnen omzeilen. De malafide e-mails bevatten vaak schadelijke bijlagen, zoals zip-bestanden met JavaScript-code en PowerShell-scripts, die verbinding maken met een Command-and-Control (C2)-server.

Hoewel aanvallers eerst gebruikmaken van kwetsbaarheden in bepaalde firmware versies (CVE-2023-30799), kunnen de routers zonder enige authenticatie worden misbruikt als proxies (via scripts die SOCKS en Secure Sockets inschakelen). Dit stelt cybercriminelen in staat om DDoS-aanvallen en phishingcampagnes uit te voeren. Dit benadrukt de noodzaak van strikte toegangsbeveiliging en correcte DNS-configuratie.

Beleidsmaatregelen voor organisaties in het tijdperk van cyberdreigingen

Gezien de geavanceerdheid en alomtegenwoordigheid van de Mirai-familie-aanvallen is het van groot belang dat organisaties strikte beveiligingsmaatregelen treffen. 

Hieronder volgen enkele belangrijke tips en vaak onderbelichte aspecten die essentieel zijn voor een cyber resilient infrastructuur:

1. Strikte beveiliging voor IoT-apparaten

Zorg ervoor dat alle IoT-apparaten, zoals camera’s, routers en andere verbonden hardware, regelmatig worden geüpdatet. Zorg dat ze in een apart network segment staan (bijvoorbeeld VLAN) en dat ze geen gebruik maken van standaard wachtwoorden. Kwetsbare, niet geupdate apparaten vormen een makkelijk doelwit voor aanvallers.

2. Zero Tolerance-beleid voor ongeautoriseerde toegang

In de strijd tegen botnets is een proactieve benadering nodig. Richt een zero tolerance-beleid in voor ongeautoriseerde toegang en gebruik geavanceerde anomaliedetecie om verdacht en en afwijkend verkeer vroegtijdig op te sporen.

2. DNS-beveiliging

Het beveiligen van DNS-configuraties is essentieel. Fouten in DNS-instellingen kunnen misbruikt worden door kwaadwillende. Regelmatige controle en toezicht op DNS-beveiliging kunnen veel schade voorkomen. Maak gebruik van DNSSEC (Domain Name System Security Extensions); hierdoor wordt het voor kwaadwillenden onmogelijk om DNS-queries te manipuleren.

4. Secure by Design

De beveiliging van netwerken en apparaten moet vanaf het ontwerpstadium worden geïntegreerd. Gelukkig wordt dit steeds meer ondersteund door regelgeving, zoals de Cyber Resilience Act (CRA), die benadrukt dat veiligheid gedurende de gehele levenscyclus moet worden toegepast, inclusief binnen de volledige supply chain. De maakindustrie moet middels een zogenaamde Declaration of Conformity (DoC) kunnen aantonen essentiële cybersecuritymaatregelen te hebben getroffen.

5. Training en bewustwording

Organisaties moeten ervoor zorgen dat medewerkers regelmatig trainingen krijgen over de gevaren van cyberbedreigingen en het threat landscape. DDoS-aanvallen kunnen in wezen eenvoudig worden ingeperkt door eenvoudige industry best practices te volgen.

Conclusie

De voortdurende evolutie van de Mirai-varianten laat duidelijk zien hoe belangrijk het is om cybersecurity goed te regelen en een strategie te hebben. In de EU heeft een gemiddelde organisatie tussen de 100 en 300 IoT-apparaten, terwijl een gemiddeld huishouden wel 21 verbonden apparaten heeft (smart devices/IoT).

Ik sluit me volledig aan bij de visie van NIST: IoT-apparaten zijn geen standaard IT-apparaten, en vereisen een specifiek beleid en aangepaste strategieën. Risicoanalyses zijn zeker een belangrijke eerste stap, maar biedt zo'n analyse daadwerkelijk inzicht in alle apparaten die met het netwerk verbonden zijn?

Het is cruciaal om de cyberweerbaarheid te versterken en medewerkers bewust te maken van de risico's - niet alleen op zakelijk niveau, maar ook op privégebied. Zoals het gezegde luidt: "Veiligheid is niet iets wat je bereikt, het is iets wat je bewaakt."

Antoinette Hodes - Global Solution Architect en IoT expert | Office of The CTO, Check Point