IoT-botnet infecteert 100.000 routers om spam te versturen

Een nieuw botnet heeft ongeveer 100.000 routers besmet, om daarmee verbinding te maken met webmail-diensten en waarschijnlijk grootschalige spam-campagnes te versturen via de e-mail. Het botnet is in de afgelopen twee maanden in alle stilte gegroeid, meldt ZDNet.

Het botnet werd in september ontdekt door het Netlab-team bij Qihoo 360. Het netwerk misbruikt een bekende kwetsbaarheid van vijf jaar oud om zich te verspreiden. Die kwetsbaarheid werd in 2013 ontdekt door beveiligingsonderzoekers van DefenseCode en zit in de Broadcom UPnP SDK, een stuk software dat in duizenden router-modellen van diverse fabrikanten zit.

Met die kwetsbaarheid kan een aanvaller malafide code uitvoeren op een kwetsbare router op afstand, zonder authenticatie. Diverse botnets misbruikten de kwetsbaarheid in het verleden. Het nieuwe botnet dat dit doet heeft van Netlab de nickname BCMUPnP_Hunter gekregen.

100.000 geïnfecteerde routers

Chinese onderzoekers zeggen dat ze in de afgelopen twee maanden scans van het botnet hebben gezien die vanaf 3,37 miljoen IP-adressen kwamen, maar het aantal dagelijks actieve apparaten zit vaak op ongeveer 100.000 stuks. De slachtoffers zitten overal ter wereld, maar de meeste geïnfecteerde routers zitten in India, China en de Verenigde Staten.

Het botnet is bovendien anders dan de meeste IoT-botnets die actief zijn. De meeste van die botnets maken namelijk gebruik van broncode die online is gelekt. Het nieuwe botnet doet dit echter niet. “We hebben geen vergelijkbare code gevonden via zoekmachines”, aldus Hui Wang, een van de twee Netlab-onderzoekers die de bron van het botnet hebben geanalyseerd. “Het lijkt er op dat de maker goede vaardigheden heeft en niet een typische script kid is.”

Alle IP-adressen waar het botnet verbinding mee heeft gemaakt, zijn volgens Hui het eigendom van webmail-diensten als Yahoo, Outlook en Hotmail. Alle verbindingen werden gemaakt via TCP-poort 25, waardoor onderzoekers er zeker van zijn dat de beheerders van het botnet in het geheim spam-golven versturen vanachter de geïnfecteerde routers.