The White Team hackt ruim 10.000 routers om deze beter te beveiligen
Een groep hackers verspreidt malware die inbreekt op routers en vervolgens de beveiliging van de apparaten verbeterd. De opvallende actie is opgeëist door een hackersgroep die zichzelf ‘The White Team’ noemt.
De malware is ontdekt door Symantec, die werd getipt door een onafhankelijke onderzoeker. Deze had de malware op zijn eigen router aangetroffen nadat hij een proces niet kon thuisbrengen. Symantec trof de malware vervolgens zelf ook aan in honeypots en heeft de malware ‘Linux.Wifatch’ genoemd.
Routers beter beveiligen
De malware probeert in te loggen via de telnet poort, waarvan wachtwoorden vaak niet worden gewijzigd. Dit doet de malware dan ook door te proberen met standaard wachtwoorden van routers in te loggen. Eenmaal binnen sluit de malware de telnet daemon af om toegang via deze route voortaan onmogelijk te maken. Ook probeert de malware de router op te schonen van eventuele aanwezige malware, waaronder bitcoin miners. Vervolgens vraagt de malware de beheerder zijn of haar wachtwoord te wijzigen en de firmware van de router te updaten. De malware zou inmiddels op zeker 10.000 routers actief zijn.
De makers van de malware laten in de broncode van de malware berichten achter voor eventuele lezers. Hierin roepen zij onder andere NSA en FBI agenten die de boodschap lezen op te overwegen de Amerikaanse grondwet te verdedigen door het voorbeeld van Edward Snowden te volgen.
The White Team
De actie is inmiddels in een anonieme reactie op de blogpost van Symantec opgeëist door een hackersgroep die zichzelf ‘The White Team’ noemt. Symantec neemt de reactie serieus genoeg om deze toe te voegen aan zijn blogpost. De groep stelt geen kwade intenties te hebben en geeft aan de malware te hebben gebouwd om te leren, voor de lol en om de veiligheid van gebruikers te verbeteren. De hackers hebben de broncode van de malware beschikbaar gesteld via Gitlab.
Wie de hackers precies zijn is niet duidelijk; de groep stelt dat hun identiteit niet van belang is. Ondanks de goede bedoelingen van de hackersgroep is de actie overigens niet legaal. Zij dringen immers ongevraagd en zonder toestemming routers van derde binnen om hier vervolgens wijzigingen aan te brengen. Ook maken zij gehackte routers onderdeel van een peer-to-peer netwerk, waarna bandbreedte van de routers wordt gebruikt om patches naar andere gehackte routers te verspreiden.
Onethisch
De hackers geven zelf ook toe niet volledig ethisch te werk te gaan. De hackers stellen echter dat onder andere de bandbreedte die zij gebruikers besparen door illegale bitcoin miners te verwijderen, technische problemen die zij voorkomen doordat apparaten niet langer oververhit raken en de diefstal van data en geld die zij tegengaan de bandbreedte die zij gebruiken zou moeten compenseren.
Meer over
Lees ook
Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan
Securitybedrijf Lookout heeft ontdekt dat Android-surveillanceware van enterprise niveau, momenteel door de regering van Kazachstan wordt gebruikt binnen de grenzen van het land. Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.
Nerbian RAT gebruikt COVID-19 als dekmantel
Sinds eind april 2022 hebben onderzoekers van Proofpoint een malwarecampagne waargenomen via e-mail, genaamd Nerbian RAT. Een klein aantal e-mails (minder dan 100 berichten) werden naar meerdere sectoren gestuurd, waarbij vooral organisaties in Italië, Spanje en het VK werden getroffen.
Proofpoint identificeert nieuwe malware loader Bumblebee
Sinds maart 2022 heeft Proofpoint campagnes waargenomen waarbij een nieuwe downloader, genaamd Bumblebee, werd verspreid. Ten minste drie clusters van activiteit, waaronder van bekende cybercriminele groepen, verspreiden momenteel Bumblebee.