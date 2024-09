De Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten hebben een Chinees bedrijf beschuldigd van het beheren van een omvangrijk botnet dat uit 260.000 gecompromitteerde routers, NAS-apparaten, firewalls en Internet of Things (IoT)-apparaten bestond. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) meldt dat de besmette apparaten door de FBI zijn opgeschoond. Een kleine drieduizend van de besmette apparaten bevonden zich volgens de FBI en Amerikaanse geheime dienst NSA in Nederland.

Het botnet zou voor proxydoeleinden zijn gebruikt, waarmee aanvallers bij het uitvoeren van aanvallen hun eigen locatie kunnen verbergen. Het Chinese bedrijf zou het botnet sinds halverwege 2021 in beheer hebben gehad en sindsdien bezig zijn geweest om nieuwe apparaten te infecteren. Het grootste deel van de gecompromitteerde apparaten, 126.000, bevond zich in de Verenigde Staten. In Nederland gaat het om 2700 apparaten die onderdeel van het botnet waren (pdf).

In de waarschuwing van de Five Eyes-landen staat dat het bedrijf van bekende kwetsbaarheden gebruikmaakte om apparaten te compromitteren. Daarnaast geven de overheidsdiensten advies om infecties te voorkomen, zoals het uitschakelen van ongebruikte diensten en poorten, het toepassen van netwerksegmentatie, monitoren van netwerkverkeer, tijdig installeren van updates, aanpassen van standaard wachtwoorden, het geregeld uitvoeren van reboots om "fileless" malware te verwijderen en het vervangen van apparatuur die end-of-life is.

"Door de opschoonactie van de FBI maken deze apparaten geen onderdeel meer uit van het botnet, maar is de apparatuur niet beschermd tegen hernieuwde besmetting. Hiervoor is het onder meer nodig om een software-update op de apparatuur door te voeren. Waar mogelijk worden eigenaren van geraakte apparatuur genotificeerd, maar dit betreft slechts een deel van de totale hoeveelheid getroffen apparaten in Nederland. We raden daarom aan om SOHO-apparatuur te controleren op updates en deze door te voeren wanneer er een update beschikbaar is", zo laat het NCSC naar aanleiding van de actie weten.