Hackpogingen op Singapore tijdens historische top tussen Donald Trump en Kim Jong-Un

Op 12 juni vond het in Singapore dan eindelijk plaats: een historische ontmoeting tussen President Donald Trump van de Verenigde Staten en dictator Kim Jong-Un van Noord-Korea. Nu blijkt dat er tijdens de ontmoeting een reeks internetaanvallen op Singapore gepleegd werden door Rusland.

Dat melden veiligheidsonderzoekers van F5 Networks. Van al het kwaadwillende inkomende verkeer op 12 juni 2018 kwam 88 procent uit Rusland. De aanvallen tijdens de top waren met name gericht op VoIP-telefoons die veel in hotels worden gebruikt en op IoT-apparatuur.

Verkennend verkeer

De onderzoekers melden dat het verkeer vooral zocht naar gaten in kwetsbare systemen. Het meeste verkeer was afkomstig van het Russische IP-adres 188.246.234.60, gevolgd door daadwerkelijke aanvallen uit zowel Rusland en Brazilië. Het belangrijkste doelwit was het protocol SIP 5060, dat gebruikt wordt door VoIP-telefoons om communicatie te verzenden als tekst.

Het tweede aanvalsdoel was telnet, typerend voor aanvallen op apparatuur die in de buurt is van interessante doelwitten. Ten slotte werden er veel aanvallen op poort 7457 uitgevoerd, vergelijkbaar met de grootschalige Mirai-botnet en Annie aanvallen op door ISP beheerde routers. SIP is een protocol voor IP-telefonie, waarbij 5060 een specifieke onversleutelde poort is. De onderzoekers denken dat de aanvallers onbeveiligde telefoons of mogelijk een VoIP-server probeerden over te nemen.

Spionage of diefstal van gegevens

De onderzoekers denken dat het aannemelijk is dat de aanvallers op deze manier toegang wilden krijgen tot andere apparatuur. Die zouden dan weer ingezet kunnen worden voor het volgen van communicatie, of de diefstal van gegevens. Het is niet helemaal zeker of de aanvallen ook succesvol waren; dat hangt deels af van de vraag of een poort die door ISP’s gebruikt wordt om routers op afstand te beheren open stond.

Er wordt nog verder onderzoek gedaan naar het precieze doel van de aanvallen en het succes ervan. Het is ook niet duidelijk of deze aanvallen door hogerhand zijn opgelegd. De onderzoekers adviseren om beheer op afstand altijd te beschermen met een firewall, VPN of het te beperken tot een specifiek aangewezen beheernetwerk en nooit een open communicatie met het internet te handhaven. Verder moeten standaard login-gegevens worden aangepast en moeten security-patches worden doorgevoerd zodra ze vrij worden gegeven door de fabrikant.