Het National Cyber Security Center (NCSC) en het Digital Trust Center (DTC) melden dat de FBI een wereldwijd botnet heeft overgenomen en opgeschoond. Er zijn ruim 200.000 geïnfecteerde systemen bevrijd van malware afkomstig van een groep die gelinkt wordt aan de Chinese staat. In Nederland waren 2.700 apparaten besmet. Eigenaren zijn gewaarschuwd via een mailnotificatie.
De geïnfiltreerde apparatuur bestaat uit smart home-oplossingen en apparatuur voor thuiswerkers, zoals internetmodems, routers en internet of things-apparatuur (iot). Hoewel de FBI er in geslaagd is deze apparaten uit het botnet te verwijderen, waarschuwt het NCSC dat de systemen niet automatisch beschermd zijn tegen toekomstige besmettingen en er een software-update nodig is om te voorkomen dat apparaten opnieuw geïnfecteerd raken.
Eigenaren van getroffen apparaten worden waar mogelijk geïnformeerd via een notificatie per mail. Omdat niet iedereen de waarschuwing zal zien, raadt het NCSC ook aan om uit eigen initiatief updates uit te voeren. ‘Vooral apparatuur die direct met het internet verbonden is, blijft kwetsbaar voor cyberaanvallen. Een goede basishygiëne is essentieel voor de beveiliging van dit soort apparaten’, stelt de instantie die op zijn website verschillende bestanden met informatie over de beveiliging van iot-systemen deelt.
‘Good guys’
Iot-expert Antoinette Hodes, global solutions architect en security evangelist bij Check Point Software, deelt nog een aantal details over de Chinese Hackers. Ze stelt dat het gaat om Flax Typhoon en partnergroep Volt Typhoon. ‘Beide groepen deden zich voor als experts in een informatiebeveiligingsgroep genaamd de Integrity Technology Groups, waardoor ze voor langere tijd onder de radar konden blijven. Ze leken een van de ‘good guys’, terwijl ze enkele van de meest geavanceerde cyberspionageoperaties van de afgelopen jaren uitvoerden.’
Volgens Hodes waren de Cinezen in staat om gegevens te stelen, waardevolle informatie te verkrijgen en toegang te krijgen tot kritieke infrastructuren, overheidsinstellingen, bedrijven en universiteiten.
SEO-fraude
Informatiebeveiliger Cisco Talos waarschuwt ook voor een andere Chinese dreiging: ‘DragonRank’. Die Chinese hackersgroep manipuleert zoekmachineresultaten ofwel seo (search engine optimisation). Via het compromitteren van iis-servers (internet information services) in zowel Nederland als in Azië en andere delen van Europa.
De groep past geavanceerde seo-manipulatietechnieken toe, ook wel bekend als black hat seo, om kwaadaardige websites hoger in zoekresultaten te plaatsen. Black hat seo omvat illegale methoden die zoekmachines manipuleren door middel van technieken zoals keyword stuffing, link farming en het verbergen van schadelijke inhoud. ‘Hierdoor kunnen cybercriminelen de zichtbaarheid van gevaarlijke websites vergroten en nietsvermoedende gebruikers naar risicovolle pagina’s leiden’, aldus de informatiebeveiliger.
Rapportage
De FBI heeft in samenwerking met de Cyber National Mission Force (CNMF) en de National Security Agency (NSA) een rapportage opgesteld over de zaak.
Geïnteresseerd in meer informatie over cybersecurity? Lees dan de zesde uitgave van het Engelstalige Cybersec e-Magazine!
“…er een software-update nodig is om te voorkomen dat apparaten opnieuw geïnfecteerd raken…”
Advies van NCSC is leuk maar er hangen zo’n 11 IoT devices in mijn netwerk waarvan ik er misschien 7 kan patchen omdat ze iets van een beheer interface hebben zodat ik ook toegang ertoe heb, de rest is gewoon net als de pagers van Hezbollah een blackbox. En ik zou niet weten of er achterdeurtjes in de IoT devices zitten want dat hackers eenvoudig toegang kunnen krijgen via een onbekend en onbewaakt service account zou me niks verbazen. Een goede basishygiëne mist dus grotendeels de mogelijkheden waardoor advies leuk maar onwerkbaar is door de keerzijde van een consumerization of ICT.