Onderzoekers hebben een botnet, of mogelijk meerdere botnets, bestaande uit gehackte routers, ip-camera's, digitale videorecorders en andere embedded devices ontdekt dat massaal op internet naar systemen met Telnet scant, zo meldt CZ.NIC in een blogposting over het onderzoek.

Deze instantie is verantwoordelijk voor de uitgifte van Tsjechische domeinnamen. De onderzoekers hadden verschillende honeypots opgezet om zowel ssh- als Telnet-verkeer van aanvallers te meten. Een honeypot is een systeem dat opzettelijk wordt neergezet om te worden aangevallen. Tot hun grote verbazing bleek dat het verkeer naar de Telnet-honeypots drie keer groter was dan het verkeer naar de ssh-honeypots. Op het hoogtepunt bleek dat de scans vanaf 120.000 ip-adressen tegelijkertijd afkomstig waren.

Inmiddels is dit naar 40.000 unieke ip-adressen gedaald, maar het gaat nog steeds om veel gehackte machines die hiervoor worden ingezet. Verder onderzoek naar de gehackte machines wees uit dat het om routers, digitale videorecorders en beveiligingscamera's ging. De apparaten, die vaak over bekende kwetsbaarheden beschikken, worden gehackt en vervolgens gebruikt voor het scannen naar andere kwetsbare apparaten.

"Dit soort apparaten zijn een eenvoudig doelwit, aangezien het vaak om een "monocultuur" van devices gaat, die allemaal dezelfde setup en zelfde kwetsbaarheden hebben", aldus de onderzoekers. Die ontdekten tijdens de onderzoeksperiode meer dan 6 miljoen unieke ip-adressen die werden gebruikt voor het aanvallen van de Telnet-honeypots. Via de website AmIHacked.turris.cz kunnen internetgebruikers controleren of hun ip-adres ook in deze dataset voorkomt.