Het aantal thingbots groeit zeer snel. In 2016 werden 9 thingbots geregistreerd, een jaar later kwamen er 6 bij, maar alleen in het begin van dit jaar stond de teller al op 26 nieuwe bots. Ze worden vooral in Europa gevonden. Dat blijkt uit het rapport The Hunt for IoT .
Van de meest krachtige thingbot-aanval tot nu toe, Mirai, zijn bijvoorbeeld nog steeds de gevolgen merkbaar. De groei blijft aanhouden doordat fabrikanten nog steeds te weinig beveiligingsmaatregelen nemen.
Daarnaast zijn thingbots relatief makkelijk te ontwikkelen. Ze worden gemaakt door allerlei groepen, van script-kiddies tot specialisten in dienst van landelijke overheden.
Hulpdiensen
Thingbots kunnen worden opgenomen door hackers in een botnet van verbonden apparaten. Dat gebeurt ook met apparaten in cruciale toepassingen, zoals het verzorgen van een internetverbinding in voertuigen van hulpdiensten (ambulance, brandweer en politie). Hiervan bleek 62 procent kwetsbaar.
Volgens Gartner zullen er volgend jaar meer dan 20 miljard IoT-apparaten zijn. Daarvan zouden 12 miljard in meer of mindere mate ingezet kunnen worden voor een aanval.
Volgens de samenstellers van het rapport blijft het aantal IoT-dreigingen groeien totdat gebruikers een veiligere manier van fabricage eisen. Naar verwachting zal dat zelfs nog wel eens jaren kunnen duren. Tegelijkertijd blijft een uiteenlopende groep mensen deze IoT-apparatuur misbruiken. Het is zo makkelijk, zelfs een kind kan het.”
Mirai blijft Europa aanvallen
Van de meest krachtige thingbot-aanval tot nu toe, Mirai, zijn nog steeds de gevolgen merkbaar, mede dankzij een scanning-model dat zichzelf in leven houdt. Sinds juni 2017 ligt met name Europa onder vuur.
De regio heeft de meeste Mirai-scanners – gecompromitteerde IoT-apparaten die de infectie proberen te verspreiden – dan waar ook ter wereld. De originele Mirai-bot is nog steeds actief, maar ook verschillende afstammelingen zorgen voor problemen.
Een kleine 90 procent van de bekende thingbots is na Mirai ontdekt en ontstaan doordat de broncode beschikbaar werd gesteld en er veel publiciteit was. Hiervan is 46 procent een Mirai-variant die veel meer kan dan een DDoS-aanval uitvoeren, zoals proxy servers opstarten, crypto-munten aanmaken en andere bots installeren.
Het Hunt for IoT rapport wijst verder uit dat eenvoudige routers, IP-camera’s, digitale en netwerk videorecorders en CCTV-systemen de populairste apparaten zijn om te misbruiken. Het betreft vooral apparatuur die HTTP gebruiken en openbare UPnP, HNAP en SSH (die niet openbaar horen te zijn).
Als de malware eenmaal is geïnstalleerd, legt de bot contact met de C&C server om orders te downloaden. De verkoop van botnet-services is verschoven van het darkweb naar mainstream platformen als Instagram. Abonnementen zijn er al vanaf 5 dollar per maand.
Het goede nieuws is dat security-bedrijven bots steeds vaker ontdekken voordat ze toeslaan. Voorheen werden thingbots ontdekt doordat een aanvalspad met terugwerkende kracht werd onderzocht.
Opschonen
Eerder dit jaar werd bekend dat er metingen komen naar besmette IoT-apparatuur. Fabrikanten van deze slimme apparaten en consumenten krijgen op grond daarvan informatie over hoe dit op te schonen.
Dat staat in de voortgangsbrief over de Roadmap Digitaal Veilige Hard- en Software van staatssecretaris Mona Keijzer (Economische Zaken en Klimaat). In de Roadmap van vorig jaar staan maatregelen zoals toezicht en certificering om de markt te bewegen om het veiligheidsniveau van het IoT te verhogen. Nederland neemt nu al deze maatregelen vooruitlopend op structurele Europese en internationale regels.
