De FBI heeft een botnetwerk ontdekt dat ruim 200 duizend apparaten omvat. Hiervan bevinden zich ook enkele duizenden apparaten in Nederland. Het betreft een grote verscheidenheid aan internetmodems, routers en IoT-apparaten.
In een gezamenlijke waarschuwing maakten de FBI, de Cyber National Mission Force (CNMF), en de National Security Agency (NSA) bekend dat cybercriminelen gelinkt aan de Volksrepubliek China duizenden routers en IoT-apparaten wereldwijd hebben geïnfecteerd. Deze apparaten zijn onderdeel geworden van een botnet dat is gebruikt voor kwaadaardige activiteiten zoals DDoS-aanvallen.
De geïnfecteerde apparaten, waaronder routers voor thuis- en kantoorgebruik, firewalls en netwerkopslagapparaten, zijn gebruikt om een grootschalig botnetwerk te creëren. Dit botnet wordt beheerd door Integrity Technology Group (Integrity Tech), een Chinees bedrijf dat volgens de Amerikaanse inlichtingendiensten banden heeft met de Chinese overheid.
Grootste botnet sinds 2021
Het botnet, dat sinds midden 2021 actief is, bevatte in juni 2024 meer dan 260.000 apparaten. Deze apparaten bevinden zich wereldwijd, met meldingen van slachtoffers in Noord- en Zuid-Amerika, Europa, Afrika, Zuidoost-Azië en Australië. Er zijn minimaal 2700 apparaten geïnfecteerd in Nederland. Hoewel verouderde apparatuur vaak kwetsbaarder is voor dergelijke aanvallen, zijn ook veel nieuwere en nog steeds ondersteunde apparaten geïnfecteerd.
De FBI benadrukt dat de bedreiging serieus genomen moet worden, en roept eigenaren en beheerders van getroffen apparaten op om onmiddellijk actie te ondernemen. Dit omvat het updaten en beveiligen van kwetsbare apparaten om te voorkomen dat ze worden opgenomen in het botnet.
Aanvallen gelinkt aan China
De FBI heeft vastgesteld dat het botnet wordt beheerd door IP-adressen die zijn geregistreerd bij China Unicom, een Chinees telecommunicatiebedrijf. Deze IP-adressen zijn eerder gebruikt bij andere cyberaanvallen op Amerikaanse netwerken, uitgevoerd door cybergroepen die bekend staan als Flax Typhoon, RedJuliett, en Ethereal Panda. Deze groepen staan erom bekend kwetsbare systemen binnen te dringen en worden direct gelinkt aan Chinese staatsactors.
De cybercriminelen maken gebruik van de Mirai-malwarefamilie, die specifiek is ontworpen om IoT-apparaten, zoals webcams, routers en IP-camera’s, te infecteren. De Mirai-malware werd in 2016 publiekelijk online gedeeld, waarna diverse hackers hun eigen versies van deze botnets hebben ontwikkeld. Dit specifieke botnet maakt gebruik van aangepaste Mirai-malware om de geïnfecteerde apparaten te besturen.
Botnetbeheer via ‘Sparrow’
Het botnet wordt beheerd via een systeem dat ‘Sparrow’ wordt genoemd, een applicatie die cybercriminelen in staat stelt om geïnfecteerde apparaten te controleren en opdrachten te geven. Via deze applicatie kunnen de criminelen DDoS-aanvallen lanceren of nieuwe apparaten aan het botnet toevoegen. In juni 2024 bevatten de databases van Sparrow meer dan 1,2 miljoen records van geïnfecteerde apparaten, waarvan 385.000 afkomstig uit de Verenigde Staten.
De FBI raadt aan om ongebruikte services en poorten op de apparatuur uit te schakelen, regelmatig updates te installeren en sterke wachtwoorden te gebruiken. Het is ook raadzaam om IoT-apparatuur op een separaat netwerk te installeren.