Botnet Satori richt zich op veelgebruikte D-Link routers

Abonneer je gratis op Techzine!

Hackers maken gebruik van een kritische kwetsbaarheid in D-Link DSL-routers, in een poging hen onderdeel te maken van Satori. Dat is een botnet dat enkel via Internet-of-Things-apparaten werkt en gebruikt wordt om websites offline te halen en cryptovaluta te minen.

Satori werd vorig jaar ontdekt en bleek een behoorlijk veelzijdig en verfijnd botnet. In december infecteerde het meer dan 100.000 IoT-apparaten in minder dan twaalf uur tijd, door kwetsbaarheden in Huawei- en RealTek-routers te gebruiken. Een maand later kwam er een nieuwe versie van het botnet uit, die controle overneemt over traditionelere apparaten. Nu is er weer een nieuwe versie.

Exponentiële toename

De afgelopen vijf dagen is Satori begonnen met het uitbuiten van een kritische kwetsbaarheid in de D-Link DSL 2750B-router. Die wordt onder meer gebruikt door abonnees op Verizon en andere ISP’s. De code die gebruik maakt van de twee jaar oude kwetsbaarheid werd vorige maand gepubliceerd.

De infectie verspreidt zich van apparaat tot apparaat. Er is geen interactie met de eindgebruiker voor nodig. Het lijkt er verder op dat er nog geen oplossing is, want de site van D-Link laat geen patch zien. De kwetsbaarheid lijkt dan ook nog niet geïndexeerd te zijn. Het aantal aanvallen dat op de D-Link-apparaten plaatsvindt neemt volgens onderzoekers van Radware “exponentieel toe”. Ook routers van XiongMai worden bedreigd.

De aanval

Bij de aanval worden D-Link routes gedwongen een wget-command te versturen. Daardoor wordt er een script opgehaald van de webserver met het adres 185.62.190.191. De meeste infecties vinden plaats in de Verenigde Staten, andere infecties treffen vooral mensen in Brazilië, Zuid-Korea en Italië.

De kwetsbaarheid is volgens de onderzoekers verder al sinds 2016 bekend, maar D-Link heeft sinds 2015 geen nieuwe firmware meer uitgebracht voor het apparaat.