Synology, een bekende fabrikant van Network Attached Storage (NAS) apparaten, waarschuwt klanten dat kwaadwillenden recentelijk steeds vaker brute force attacks uitvoeren tegen netwerkapparatuur van Synology. Onderzoekers stellen dat ze hiervoor gebruikmaken van een botnet dat StealthWorker heet. Er zijn geen aanwijzingen dat de aanvallers kwetsbaarheden in de software misbruiken.
Dat schrijft het Synology Product Security Incident Response Team (PSIRT) in een persbericht. Het bericht stond vorige week woensdag al online, maar wordt nu pas opgepikt door de media.
Synology probeert StealthWorker-botnet uit te schakelen
Hackers en cybercriminelen proberen op allerlei manieren bedrijfsnetwerken, computersystemen en servers binnen te dringen. Een veelgebruikte methode is een brute force attack. Daarbij gebruiken de aanvallers speciaal ontwikkelde software om een ongelimiteerd aantal gebruikersnamen en wachtwoordcombinaties in te voeren, net zolang totdat er een match is. Deze gegevens hebben de daders vaak bemachtigd via eerdere datalekken bij bedrijven en organisaties, of gekocht op het dark web.
Kwaadwillenden proberen de laatste tijd steeds vaker om NAS-apparatuur van Synology te kraken. Door continu gebruikersnamen en wachtwoorden af te vuren, proberen ze toegang te krijgen tot de opslagapparatuur van de Taiwanese fabrikant. Eenmaal binnen installeren de daders StealthWorker-malware. Apparaten die hiermee besmet zijn, worden toegevoegd aan het botnet en kunnen deelnemen aan aanvallen op andere apparatuur die is gebaseerd op Linux, zoals de NAS-producten die Synology verkoopt.
Synology zegt samen te werken met Computer Emergency Response Teams (CERT) om de infrastructuur achter de StealthWorker-malware uit de lucht te halen. Tegelijkertijd benadert het bedrijf klanten die mogelijk getroffen zijn door deze malware. Synology adviseert systeembeheerders om hun systeem af te speuren op zwakke wachtwoorden, autoblock en accountbescherming aan te zetten en als dat mogelijk is om tweestapsverificatie (MFA) in te stellen. Systeembeheerders die verdachte activiteiten hebben geconstateerd op hun apparaten, wordt aangeraden om contact op te nemen met de technische dienst van Synology.
Dit is een botnet in een notendop
Een botnet is een netwerk van geïnfecteerde computers. Deze besmette computers worden ook wel zombies genoemd. Computereigenaren hebben vaak niet eens door dat hun hardware onderdeel uitmaakt van een botnet. Degene die de computers in het netwerk aanstuurt, wordt een botmaster genoemd. Hij kan deze gebruiken om een Distributed Denial of Service of DDoS-aanval uit te voeren. Hiermee worden servers en websites platgelegd doordat ze bestookt worden met enorme hoeveelheden verbindingsaanvragen.
Naast een DDoS-aanval kan een botnet ook gebruikt worden om internetgebruikers te overspoelen met spamberichten. Hiervoor gebruiken de daders zogeheten Command & Control servers (C&C servers). Deze servers vormen het zenuwcentrum of hoofdkwartier van waaruit hackers gestolen data ontvangen en spam versturen. Met spamberichten proberen oplichters zo veel mogelijk persoonlijke gegevens van nietsvermoedende slachtoffers te bemachtigen. Dit deze vorm van cybercriminaliteit noemen we ook wel phishing.
Aantal botnetservers daalt fors in ons land
Botnets zijn niet alleen gevaarlijk voor bedrijven en instanties, maar ook voor burgers. Er wordt dan ook met man en macht gewerkt om botnetservers uit de lucht te halen. En met succes. Volgens Spamhaus daalde het aantal C&C servers in het tweede kwartaal wereldwijd met bijna 20 procent van 1.660 naar 1.329. In ons land daalde het aantal botnetservers met 19 procent van 207 naar 168.
In januari nam de Nederlandse politie deel aan een internationale actie om het Emotet-botnet offline te halen. Twee van de drie hoofdservers van het botnet stonden in ons land en werden door de politie overgenomen. Agenten plaatsten vervolgens een update op de servers die de malware onschadelijk maakte. Daarnaast creëerde de politie de Emotet-checker: een tool waar slachtoffers konden zien of hun e-mailadres in de database van de aanvallers voorkwam. In totaal stonden er meer dan 600.000 slachtoffers op de servers.
