Cybercrime

Bij de grote ddos-aanval op dns-aanbieder Dyn die afgelopen vrijdag ervoor zorgde dat populaire websites als Twitter, Netflix, GitHub en Spotify slecht of onbereikbaar waren, waren tientallen miljoenen verschillende ip-adressen betrokken, zo laat het bedrijf in een reactie op de aanval weten.

Dyn biedt een dienst voor het beheren van het domain name system (dns), dat computers onder andere gebruiken voor het opvragen van websites. De websites maakten van deze aangevallen dienst gebruik. Volgens Dyn vondt er een "geraffineerde, zeer gedistribueerde aanval plaats waarbij tientallen miljoenen ip-adressen waren betrokken." Er wordt op dit moment een grondig onderzoek en forensische analyse naar de oorzaak en aanval uitgevoerd.

Vijf dingen die we weten over de cyberaanval.

1. De hackers richtten zich op één bedrijf

Dyn is een bedrijf dat producten aanbiedt om online infrastructuur te beheren en ook een gigantische digitale telefoonboek. Vrijdag begonnen de aanvallers Dyn te bestoken met hele pakketten afvaldata, waardoor al snel verscheidene sites niet meer toegankelijk werden.

 

2. Babyfoons en webcams vormen een groot probleem

Volgens The New York Times gebruikten aanvallers duizenden toestellen die aan het internet gekoppeld zijn: camera's, babyfoons, routers, digicorders en zelfs zogenaamd 'slimme' thermostaten werden zonder medeweten van hun eigenaars besmet met malware die de hackers toelaat die toestellen in te schakelen om een doelwit te overspoelen met data. Deze aan het internet gekoppelde apparaten zijn vaak zwak beveiligd, ook al omdat gebruikers vaak de moeite niet nemen om standaard paswoorden te wijzigen.

 

 

3. Het netwerk dat voor de aanval werd gebruikt heeft een naam: Mirai Botnet

Volgens vakblad HackRead is het Mirai Botnet de boosdoener: kwaadaardige software waarvan iedereen de code kan vastkrijgen en ermee aan de slag gaan.

 

 

4. Het is verdraaid makkelijk en goedkoop om zo'n aanval te lanceren

Om zo'n DDoS te lanceren, heb je verrassend genoeg amper budget nodig. Lance Cottrell, expert in internetbeveiliging, stelt tegenover CBC dat "je niet veel middelen of vaardigheden nodig hebt om zo'n botnetaanval op te zetten". "Je kan zo'n botnet huren voor 100 dollar".

 

5. Niemand weet wie erachter zat

De aanval van vrijdag werd opgeëist door een groep die zichzelf New World Hackers noemt en stelt dat ze de aanval uitvoerden met goede bedoelingen. "Want Rusland stelt dat ze beter zijn dan de VS, ze hacken zich overal binnen om een oorlog te beginnen. We zullen ze tonen wat oorlog is". Los daarvan gaf Wikileaks via Twitter aan dat hun achterban een hand had in de aanval.

Wat vast staat, is dat dit soort verstoringen niet zomaar zullen verdwijnen. Toekomstige aanvallen kunnen breder gaan en meer schade aanrichten. Waarschijnlijk zullen ook daarbij babyfoons en slimme thermostaten als onwetende soldaten in een leger verstorende toestellen worden ingeschakeld.

Alles bij de bronnen; Security & HLN


The New York Times, Twitter, Spotify, PayPal... Tientallen grote sites zijn het slachtoffer geworden van een gigantische cyberaanval. Een eerste aanval trof vanmiddag vooral gebruikers aan de Oostkust van de Verenigde Staten, daarna was er opnieuw een aanval waarbij verschillende sites ook in Europa minder goed of helemaal niet bereikbaar waren. De gevolgen waren ook tot bij ons te merken: zowel in Nederland als in België was de Buienradar-website onbereikbaar

Meer dan twee uur lang lag het internet vanmiddag grotendeels plat in de VS. Van Norfolk tot in New York en van Cleveland tot in Connecticut konden internetgebruikers niet tweeten, geen nieuws lezen en hun bankrekeningen niet checken. The New York Times, Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast, EA en Playstation network: allemaal lagen ze plat. 

Het ging om een zogenoemde DDoS-aanval (Distributed Denial of Service). De reden dat er ditmaal zo veel sites tegelijk in de problemen kwamen, is dat de aanvallers mikten op het zogenoemde domain name system (DNS). Dat is het technische systeem dat gebruikers doorverwijst van een webadres (zoals nytimes.com) naar de eigenlijke webservers van het bedrijf. Hun aanval was gericht op Dyn, een bedrijf dat DNS-servers beheert. 

Internetbedrijven stellen de jongste tijd een toename vast van DDoS-aanvallen, die bovendien aanzienlijk zwaarder zijn dan ze gewoon zijn. In september werd ook beveiligingsonderzoeker Brian Krebs het slachtoffer van een dergelijke aanval op zijn blog. Toen zijn blog weer online kwam, schreef hij de aanval toe aan "supermachtige mensen die in alle stilte uiterst krachtige cyberwapens hebben opgebouwd". Volgens Krebs worden voor de aanvallen botnets gebruikt die uit tienduizenden 'Internet of Things'-toestellen bestaan, zoals onbeveiligde routers, digitale videorecorders en geconnecteerde IP-camera's. De meeste van die toestellen zijn zeer kwetsbaar voor inbraken.

Alles bij de bron; HLN


Ongeziene cyberaanvallen hebben de afgelopen week meerdere websites platgelegd. Een van de slachtoffers is onderzoeksjournalist Brian Krebs; zijn website KrebsOnSecurity.com werd bestookt met liefst 600 tot 700 gigabits data per seconde. Maar Krebs is lang niet het enige doelwit. Volgens Forbes is hij een van vele slachtoffers van hetzelfde hackerscollectief dat de afgelopen week nog andere gigantische aanvallen heeft gelanceerd. Zo zegt het Franse hostingbedrijf OVH dat het getroffen is door een DDoS-aanval van meer dan 1.100 Gbps. En ook enkele game-ontwikkelaars, waaronder Blizzard, kregen te maken met 'omvangrijke' aanvallen.

Volgens Forbes zijn voor de aanvallen botnets gebruikt die uit tienduizenden 'Internet of Things'-toestellen bestaan, zoals onbeveiligde routers, digitale videorecorders en geconnecteerde IP-camera's. Dat maakt ze zeer geschikt om netwerken op te bouwen om buitengewone volumes internetverkeer los te laten op een gekozen doelwit.

Vooral camera's blijken aantrekkelijk voor hackers. Volgens Octave Klaba, oprichter van OVH, bestond een van de botnets die zijn bedrijf aanvielen uit 145.607 camera's en digitale videorecorders. En afgelopen zomer werd nog een botnet van 25.000 CCTV-camera's gebruikt om verspreid over de hele wereld aanzienlijke aanvallen te lanceren.

Intussen wordt druk gespeculeerd over de motieven van de daders. Een betrokkene zei aan Forbes dat de aanvallen gepleegd werden door een individu of een groep die "zijn capaciteit aan het testen is". Een eventuele impact baart zorgen. Beveiligingsexpert Bruce Schneier waarschuwde eerder deze maand dat overheden de stabiliteit van het net testen met DDoS'en. "Iemand is aan het uittesten hoe hij het internet kan platleggen", klinkt het. Hoewel ook dat niet helemaal nieuw is, is het onvermogen van providers om met dergelijk verkeer om te gaan verontrustend. Zelfs de vurigste DDoS-verdedigers vrezen de dag dat 1 Tbps-aanvallen de norm worden.

Alles bij de bron; deMorgen


Apple heeft in een nieuwe iOS-update meerdere beveiligingslekken opgelost die door spionnen werden gebruikt om telefoons in de gaten te houden. Dat meldt The New York Times

In iOS 9.3.5 dicht Apple drie beveiligingsgaten die werden gebruikt door spionagesoftware gemaakt door de NSO Group, genaamd Pegasus. De nieuwe iOS-update kan vanuit de instellingen van iPhones, iPads en de iPod touch worden geïnstalleerd.

Met Pegasus is het mogelijk om SMS-berichten en e-mails te lezen. Ook kunnen spionnen telefoongesprekken volgen, geluiden via de microfoon opnemen en wachtwoorden verzamelen. De malware is gemaakt om niet op te vallen, waardoor slachtoffers geen idee hadden dat ze waren geïnfecteerd. Hij kan met een enkele klik op een link op een toestel worden geïnstalleerd. De iOS-malware werd ontdekt door mensenrechtenactivist Ahmed Mansoor, die een verdacht SMS-bericht ontving op zijn iPhone. Hij liet het toestel onderzoeken door beveiligingsbedrijf Citizen Lab, dat ontdekte dat het toestel geïnfecteerd was.

Alles bij de bron; NU


Fraudebestrijder MaxMind levert de locatie van internetgebruikers aan de hand van geassocieerde GPS-coördinaten. Dat is al verre van waterdicht om een locatie aan een IP-adres te koppelen, maar het bedrijf maakte het nog erger door default-locaties toe te wijzen als een IP-adres niet kon worden vastgesteld.

Dat adres bevindt zich precies in het midden van de VS en daar staat een boerderij. Die werd daardoor aan de lopende band aangeduid als dé locatie van een IP-adres dat niet kon worden bepaald door de zoekdienst. Het gevolg was dat de bewoners sinds 2011 lastiggevallen zijn door onder meer politiediensten die dachten internetcriminelen op het spoor te zijn. Het stel is het nu zat en stapt naar de rechter.

Fusion beschreef in april al uitgebreid de ramp waar het stel zich in bevond en zij zijn niet de enige die zich in dit lastige parket bevindt: verschillende locatiediensten hanteren een beleid met default-locaties of verkeerd uitgepeilde coördinaten waardoor onschuldige bewoners in een "technologische nachtmerrie" terechtkomen.

Alles bij de bron; WebWereld


De nieuwe spionagegroep, Strider of ProjectSauron, die vandaag bekend is gemaakt blijkt ook offline computers te infecteren en heeft het vooral op de versleutelde communicatiesoftware van overheidsinstanties voorzien. Dat meldt het Russische anti-virusbedrijf Kaspersky Lab. Volgens Kaspersky Lab is de groep vergelijkbaar met de spionagegroepen die eerder voor de Equation-Regin- en Duqu-malware verantwoordelijk waren. De groep was vanaf juni 2011 tot mei 2016 actief en had het voorzien op overheden, wetenschappelijke onderzoekscentra, het leger, telecomaanbieders en financiële partijen van verschillende landen. Kaspersky Lab spreekt van meer dan 30 geïnfecteerde organisaties in Rusland, Iran, Rwanda en mogelijk ook Italiaans-sprekende landen.

De spionnen hadden vooral interesse in de versleutelde communicatiesoftware die de aangevallen overheidsinstanties gebruikten. Zo werden encryptiesleutels, configuratiebestanden en ip-adressen van de communicatieservers gestolen.

Bij een aantal van de aangevallen organisaties waren ook computers en netwerken geïnfecteerd die niet met internet zijn verbonden. Om deze "air-gapped" machines te infecteren gebruikte de malware een speciale module die op een speciale manier usb-sticks formatteert zodat de omvang van de partitie op de usb-stick wordt verkleind. Zodoende blijft een bepaalde hoeveelheid verborgen ruimte beschikbaar. Deze ruimte wordt vervolgens gebruikt om een nieuwe versleutelde partitie te maken die niet door besturingssystemen zoals Windows wordt herkend. Zodra de offline computer door deze gemanipuleerde usb-stick is besmet wordt op deze verborgen partitie de interessante data opgeslagen.

Als de usb-stick daarna weer op een computer met internetverbinding wordt aangesloten zal de malware de verzamelde gegevens in de verborgen partitie naar de aanvallers terugsturen. Door deze methode weten de aanvallers veel datalekpreventieproducten te omzeilen, aangezien vertrouwde en toegestane usb-sticks worden gemanipuleerd.

Hoe de malware zich weet te verspreiden is nog altijd onbekend. Zo is het onbekend of er zero day-lekken zijn gebruikt, maar de kans daarop is wel aanwezig. Het formatteren van de usb-sticks en daar een verborgen partitie op aanbrengen geeft de aanvallers nog geen controle over de offline computer. "Er moet een ander onderdeel zijn zoals een zero day-exploit die in de hoofdpartitie van de usb-schijf wordt geplaatst", zegt Kaspersky Lab. In de nu geanalyseerde malware zijn dergelijke zero day-exploits nog niet aangetroffen.

Alles bij de bron; Security


De gegevens van 112.000 Franse politieagenten zijn door een ontevreden werknemer van een verzekeringsmaatschappij op internet gezet. Het gaat om adresgegevens en telefoonnummers van zowel actieve agenten als die met pensioen zijn gegaan. Volgens de verzekeringsmaatschappij waren de bestanden met een wachtwoord beveiligd en is er geen aanleiding dat ze zijn gedownload. Het duurde echter drie weken voordat de omvang van het datalek bekend werd, aldus RTL. In afwachting van het onderzoek is Google Frankrijk gevraagd om de gegevens van het account te verwijderen, wat inmiddels zou zijn gedaan.

Alles bij de bron; Security


Aanvallers hebben de website Fur Affinity gehackt en zo 1,2 miljoen e-mailadressen in handen gekregen. Ook zouden versleutelde wachtwoorden zijn buitgemaakt. Daarop heeft de website besloten om van alle gebruikers het wachtwoord te resetten

Details over de hack ontbreken, maar de website heeft wel verschillende beveiligingsmaatregelen getroffen. Zo zal er binnenkort ssl worden uitgerold, is de ImageMagick-bibliotheek waar onlangs een groot beveiligingslek in werd aangetroffen verwijderd, is de wachtwoordlengte naar 72 karakters verlengd en wordt BCRYPT gebruikt als methode voor het hashen van wachtwoorden.

De Australische beveiligingsexpert Troy Hunt, tevens beheerder van de website HaveIBeenPwned, heeft de 1,2 miljoengestolen e-mailadressen aan zijn zoekmachine toegevoegd. Inmiddels bevat de website meer dan 510 miljoen gehackte accounts.

Alles bij de bron; Security


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha