Hoe het slecht beveiligde IoT een deel van het internet platlegde
Dankzij de grootste DDoS-aanval aller tijden werden vrijdag de servers van Dyn platgelegd. Ondanks het feit dat Dyn zelf weinig bekendheid heeft in onze contreien, had dit verregaande gevolgen. Dyn is immers één van de populairste DNS-providers van de Verenigde Staten en kan onder andere Netflix, Twitter, Spotify en Airbnb tot zijn klanten rekenen. Doordat de servers van Dyn waren platgelegd, waren de bekende online diensten eveneens onbereikbaar.
Domain Name System
Tijdens een DDoS-aanval worden miljoenen berichten verstuurd naar een slachtoffer, met als gevolg dat de servers van het slachtoffer worden overbelast. De servers van Dyn kregen tot wel 1,2 Tbps te verteren en waren daardoor niet langer in staat legitieme aanvragen te verwerken.
Doordat Dyn een DNS-provider is, werden alle klanten van het bedrijf eveneens getroffen door de aanval. DNS staat voor Domain Name System en kan je aanzien als het telefoonboek van het internet. Het internet werkt immers op basis van IP-adressen, terwijl wij URL’s ingeven in onze browsers. Je browser zal het netwerk afschuimen op zoek naar een server die de URL kan vertalen naar een IP-adres. Eenmaal dit is gebeurd, krijg je de juiste webpagina te zien.
Vrijdag was Dyn niet langer in staat om de IP-adressen voor URL’s te geven. Websites van klanten van de DNS-provider waren hierdoor onbereikbaar. Zonder het juiste telefoonboek weet je browser immers niet naar welk IP-adres het moet surfen.
Mirai
Hoogstwaarschijnlijk lag de malware Mirai aan de basis van de grootschalige aanval van vrijdag. De broncode van het virus werd eerder deze maand online geplaatst nadat het Mirai-botnet securityblog KrebsonSecurity had weten plat te leggen. Mirai staat er om bekend om Internet of Things-toestellen in te lijven tot zijn botnet. De malware heeft een lijst met meer dan 60 combinaties van gebruikersnamen en paswoorden en kan hierdoor slecht beveiligde toestellen infecteren.
Onder andere apparaten van de Chinese elektronicafabrikant Hangzhou Xionmai Technology zijn slachtoffer gevallen aan de malware. Tot eind vorig jaar werden de toestellen van de fabrikant beveiligd met een eenvoudig standaard wachtwoord. Dat is een gangbare praktijk die bijvoorbeeld ook door heel wat routerfabrikanten wordt toegepast. Het Chinese bedrijf heeft ondertussen een patch uitgestuurd, waardoor klanten voortaan gevraagd worden om het standaard wachtwoord aan te passen.
Niet iedereen heeft de firmware of het wachtwoord van zijn toestel echter aangepast en ook apparaten van andere fabrikanten hebben soortgelijke beveiligingsproblemen. Hierdoor heeft Mirai naar schatting zo’n 500.000 toestellen tot zijn botnet kunnen inlijven.
[related_article id=”186942″]Verdienmodel
DDoS-aanvallen zijn een erg effectieve en eenvoudige manier om servers plat te leggen. Hoe hackers met dit type malware geld kunnen verdienen, is echter minder duidelijk. Veel cybercriminelen gebruiken de techniek dan ook niet voor geldgewin. Vaak worden de hackers gedreven door politieke redenen of wraakgevoelens.
Toch weten hackers ook uit dit type malware geld te slaan. Eenmaal een hacker een reputatie heeft opgebouwd met behulp van grootschalige DDoS-aanvallen, kan hij immers bedrijven chanteren. Sommige firma’s zullen geneigd zijn om geld te betalen om te voorkomen dat zij slachtoffer vallen aan een DDoS-aanval.
Ook industriële sabotage behoort tot de verdienmodellen van DDoS-aanvallen. Bedrijven kunnen geld betalen aan cybercriminelen om de websites van hun concurrenten offline te halen. Dit wordt voornamelijk gebruikt door minder legale websites, zoals goksites. De kans dat Dyn slachtoffer is gevallen aan industriële sabotage is dan ook klein.
Tot slot kan een DDoS-aanval als afleiding dienen voor meer lucratieve cybermisdaad. Terwijl de beveiligingsspecialisten druk bezig zijn met het weren van de DDoS-aanval, kunnen de cybercriminelen paswoorden en andere gevoelige informatie verzamelen.