Hide ‘N Seek-botnet infecteert IoT-apparaten met standaard wachtwoorden

Het Hide ‘N Seek-botnet blijft groeien door kwetsbare Internet of Things (IoT) apparaten te infecteren die nog steeds hun standaard wachtwoorden gebruiken. Dat stellen beveiligingsanalisten van Avast, meldt SecurityIntelligence

Het botnet komt volgens Avast met twee belangrijke functionaliteiten. De eerste gebruikt een scanner die het geleend heeft van Mirai-malware om willekeurige IP-adressen van IoT-apparaten te bereiken en bekende kwetsbaarheden te misbruiken. Als dat niet werkt, probeert de scanner brute force te gebruiken om toegang te krijgen tot een apparaat. Hierbij gebruikt het een lijst met standaard wachtwoorden.

Voor de tweede functionaliteit gebruikt het botnet een peer-to-peer (P2P) protocol om informatie te delen over nieuwe peers, het verzamelen van bestanden van een geïnfecteerd apparaat en het verspreiden van nieuwe binaries. Onder die binaries zitten ook een aantal voor een cryptocurrency-miner voor monero. Onderzoekers van Avast denken dat de monero-miner slechts een test was en dat de echte intenties van de aanvallers nog onbekend zijn.

Hide ‘N Seek

Hide ‘N Seek werd in januari dit jaar ontdekt door onderzoekers van Bitdefender. Een paar maanden later meldde Bitdefender dat de dreiging code had toegevoegd die twee nieuwe kwetsbaarheden misbruikte. Die kwetsbaarheden hadden impact op Internet Protocol television (IPTV) camera-modellen. Daarmee werd gescand naar een grotere groep kwetsbare apparaten. Ook moest de code zorgen voor een constante aanwezigheid op een geïnfecteerd IoT-product.

In juli volgden er meer verbeteringen. 360 Netlab zag meer exploits en een op dat moment inactief mining-programma. Twee maanden later ontdekte Bitdefender nog een update, toen het botnet de mogelijkheid kreeg om de Android Debug Bridge (ADB) over wifi-functies in Android-apparaten te misbruiken.

De evolutie van het botnet is een grote zorg gezien de algemene groei in IoT-dreigingen. In de eerste helft van 2018 detecteerde Kaspersky Lab 121.588 malware-monsters gericht op IoT. Dat is drie keer meer dan in heel 2017.