Onderzoekers hebben een IoT-botnet ontdekt dat besmette apparaten gebruikt om besmette apparaten van andere botnets te vinden en die vervolgens aan te vallen en over te nemen. Dat meldt securitybedrijf Netlab in een blogposting. Het ZHtrap-botnet gebruikt verschillende kwetsbaarheden om IoT-apparaten te infecteren.

De besmette IoT-apparaten worden voornamelijk gebruikt voor ddos-aanvallen, maar kunnen ook naar andere IoT-apparaten scannen. Om kwetsbare al besmette IoT-apparaten te vinden maakt het ZHtrap-botnet gebruik van een honeypot. Een honeypot is een systeem dat opzettelijk is neergezet om te worden aangevallen, om zo aanvallers en hun tactieken in kaart te kunnen brengen.

In het geval van ZHtrap luistert de malware naar 23 verschillende poorten. Zodra een ip-adres verbinding met één van deze poorten maakt wordt het toegevoegd aan een lijst met aan te vallen ip-adressen voor de scanner. Deze scanner scant vervolgens de ip-adressen en probeert die aan te vallen.

Veel IoT-botnets laten besmette machines in het botnet naar andere apparaten op internet zoeken. Door middel van de honeypot kan ZHtrap deze machines in kaart brengen en vervolgens overnemen. "Aangezien deze bots ongepatcht en kwetsbaar voor aanvallen zijn, kan ZHtrap deze systemen zelf aanvallen, kapen en zo overnemen van concurrenten, waardoor het botnet zonder veel moeite groter kan worden", aldus de onderzoekers van Netlab.