Niet-gepatchte industriële IoT-apparaten stellen slimme fabrieksvloeren bloot aan commerciële botnetafpersing en ernstige downtime.
Operationele technologieomgevingen verbinden miljoenen slimme sensoren, aangesloten actuatoren en IP-camera’s met hun infrastructuur. Voor het bouwen van een responsief IIoT is een reeks routeringshardware en edge-gateways nodig om die telemetrie terug te leiden naar een centrale server. De hardware creëert een groot aanvalsoppervlak en mist een goede verdediging.
Trellix-onderzoekers volgen momenteel het Masjesu-botnet, een bedreiging die precies laat zien hoe cybercriminelen geld verdienen met deze specifieke IoT-randapparatuur. Masjesu is actief sinds begin 2023 en loopt door tot 2026. Het opereert als een DDoS-verhuurservice en verkoopt rechtstreeks aan kopers via Telegram-kanalen.
Standaardmalware veroorzaakt vaak snelle en luidruchtige infecties op standaard desktop- of servermachines. Masjesu gedroeg zich anders. Operators bouwen ze voor stealth en levensvatbaarheid op de lange termijn, vooral in ingebedde IoT-systemen. Hij zocht naar processorarchitecturen die routinematig slimme meters, magazijnrobotica en monitoringtools voor faciliteiten aandrijven, waaronder i386, MIPS, ARM en AMD64.
Operators leasen deze gecompromitteerde IoT-netwerken, waardoor klanten de mogelijkheid krijgen om netwerkoverstromingen te lanceren die honderden gigabits per seconde bereiken. Voor industriële faciliteiten die afhankelijk zijn van continue IoT-datastromen voor geautomatiseerde logistiek, staan aanvallen van deze botnets neer op onbeheersbare downtime.
Voor het overbruggen van oudere operationele systemen met moderne IIoT-platforms zijn edge-apparaten nodig die vaak geen native beveiligingsmonitoring hebben. Masjesu gedijt in deze blinde vlek. Fabrieksmanagers aarzelen vaak om routinematige firmware-updates toe te passen op randapparatuur, uit angst dat de patches kwetsbare productieprocessen kunnen verstoren. Cybercriminelen vertrouwen op deze aarzeling om hun botnets te bouwen op basis van vergeten bewakingscamera’s en over het hoofd geziene omgevingssensoren.
Wanneer slimme sensoren vijandige knooppunten worden
Het verbinden van fabriekshardware met een internetverbinding laat gaten in de wet achter die kunnen worden uitgebuit. Masjesu zoekt actief naar deze kwetsbaarheden door willekeurige IP-adressen te scannen om ongepatchte IoT-gateways en embedded systemen te vinden.
Faciliteiten gebruiken deze apparaten om temperatuurmetingen te verzamelen, debieten te bewaken of externe toegang te bieden aan onderhoudscontractanten. Wanneer ze worden aangetast, veranderen deze perifere activa in vijandige knooppunten. Ze stoppen met het uitvoeren van hun beoogde industriële functie en vallen in plaats daarvan het hostnetwerk aan of doen mee aan externe aanvallen.
Het verkeersvolume dat door dit botnet wordt gegenereerd, zal groter zijn dan het aantal volledig uitgeruste industriële netwerken. In oktober 2025 demonstreerde de operator een ACK-overstromingsaanval die ongeveer 290 gigabits per seconde bereikte, wat neerkomt op 290 miljoen pakketten per seconde. Als een regionale nutsvoorziening of een sterk geautomatiseerd logistiek centrum wordt getroffen, zal de latentie de verbinding tussen fysieke sensoren en de centrale controlekamer onmiddellijk verbreken.
Geautomatiseerde productielijnen vereisen constante gegevensuitwisseling om veilig te kunnen functioneren. Overstromingen van het netwerk vertragen het sterftecijfer en brengen de veiligheid van fysieke apparatuur actief in gevaar. Als aangesloten monitoren op de fabrieksvloer hun verwerkingskracht inzetten voor een DDoS-aanval, zullen er onmiddellijk supply chain-problemen optreden.
Botnets draaien op een wereldwijd gedistribueerde infrastructuur. Uit telemetrie bleek dat bijna 50 procent van het aanvalsverkeer uit Vietnam kwam, terwijl de rest zich verspreidde over netwerken in Oekraïne, Iran, Brazilië, Kenia en India. Deze geografische spreiding maakt het voor standaard bedrijfsfirewalls erg moeilijk om slecht verkeer te elimineren zonder ook legitieme operationele gegevens afkomstig van internationale supply chain-partners te blokkeren. Beveiligingsteams hebben uiteindelijk moeite om de uptime te behouden terwijl ze miljoenen valse IoT-verzoeken eruit filteren.
Malware verbergen in een energiezuinige architectuur
Het beveiligen van een vloot IoT-apparaten vereist hardwareduurzaamheid en strenge toegangscontroles. Masjesu breekt beide actief.
Deze malware maakt gebruik van op XOR gebaseerde codering om de opdracht- en controle-instructies te verbergen, evenals tekenreeksen, configuratie- en payloadgegevens. Deze methode omzeilt eenvoudig de basistools voor statische detectie die soms in bedrijfsnetwerken worden gebruikt. De initiële payload wordt eenvoudigweg tijdens runtime gedecodeerd, met behulp van een meertraps XOR-reeks met een speciale sleutel om het domein, het IP-adres en het mappad vrij te geven.
Eenmaal uitgevoerd op een gateway of slimme sensor, begint het botnet een agressieve persistentieroutine om de hardware te kapen. Hierdoor wordt een nieuw proces gemaakt en wordt de naam van het oorspronkelijke uitvoerbare pad gewijzigd, zodat het lijkt op een standaard 32-bits dynamische Linux-linker: /usr/lib/ld-unix.so.2. Vervolgens wordt een geplande taak ingesteld en wordt een cron-taak geschreven die dit verhulde proces elke 15 minuten uitvoert. De malware verandert het proces in een achtergronddaemon, waardoor het onzichtbaar kan draaien op IoT-besturingssystemen met weinig bronnen en stroomcycli kan overleven.
Dit proces hernoemt de argumentwaarde opnieuw naar /usr/lib/systemd/systemd-journald te combineren met standaard industriële controllerachtergronden. Malware valt actief de hostomgeving aan om zichzelf te beschermen. Hierdoor worden rivaliserende processen gedood, vooral die waarvan de bestandsnamen tekenreeksen bevatten ik386en stop administratieve hulpmiddelen zoals wget, krullendEn sshd.
Door de beveiligde shell-daemon opzettelijk te verwijderen, kunnen OT-technici niet op afstand inloggen op de geïnfecteerde hardware om het probleem op te lossen. Vervolgens worden de bestandsrechten in de gedeelde tijdelijke directory beperkt tot CHMOD 400, waardoor de ruimte voor alleen-lezen-toegang wordt vergrendeld, waardoor de absolute controle over het ingebedde apparaat behouden blijft.
Gefragmenteerde IoT-toeleveringsketens en het verlaten van firmware
De fysieke infrastructuur is sterk afhankelijk van een gemengd ecosysteem van IoT-hardwareleveranciers. Masjesu maakte misbruik van bekende kwetsbaarheden bij verschillende grote fabrikanten en bewees daarmee de gevaren van vertraagde patching.
De propagatieroutine scant op open poorten die zijn gekoppeld aan een bepaald IoT-hardwareprofiel. Het jaagt op poort 37215 om Huawei-thuisgateways aan te vallen, poort 49152 voor D-Link-routers en poort 80 of 8080 voor Netgear- en GPON-kwetsbaarheden. Het richt zich expliciet op verbonden eindpuntdiensten, waaronder Vacron NVR’s, CCTV en digitale video-opnamesystemen die op poort 81 draaien, samen met Universal Plug and Play-diensten.
Nadat het beveiligingslek is misbruikt, zal het gecompromitteerde slimme apparaat contact opnemen met de command-and-control-server. De nieuwste versie van het botnet is afhankelijk van het opzetten van verschillende krachtige primaire domeinen, zoals verbinding.elbbird.zip En conn.f12screenshot.xyzondersteund door een back-up IP-adres. Het botnet stelt een ontvangsttime-out van 60 seconden in op de socket en wacht op een gevalideerde gecodeerde payload. Hierdoor worden ongeldige ladingen volledig geëlimineerd.
Het gekaapte IoT-eindpunt reageert met het architectuurtype en het hardgecodeerde versienummer 1.04, en zet vervolgens een netwerkoverstroming in. Afhankelijk van de lengte van het gehele getal in de payload variëren de aanvallen van standaard TCP- en UDP-flooding tot Generic Routing Encapsulation en Remote Desktop Protocol-flooding. De exploit-payload maakt ook gebruik van een unieke, gelabelde user-agent-ID majestueus.
Operators construeren deze bedreigingen om onder de radar van militaire of federale vergeldingsmaatregelen te blijven. Uit Trellix-analyse blijkt dat de malware IP-adres-blokkeerlijstfilters gebruikt om expliciet militaire, federale en educatieve netwerken te vermijden.
Door doelen zoals het Amerikaanse ministerie van Defensie te vermijden, voorkomen operators dat er een gecoördineerde internationale wetshandhavingsreactie ontstaat. Deze berekende beperkingen zorgen ervoor dat botnets levensvatbaar blijven als winstgevende commerciële instrumenten gericht op particuliere bedrijfsnetwerken, waardoor OT-directeuren de operationele en financiële gevolgen van een onbeveiligde IoT-vloot moeten dragen.
Zie ook: Hoe digitale tweelingen de werking van industriële machines veranderen
Wilt u meer leren over IoT van marktleiders? Bezoek de IoT Tech Expo die plaatsvindt in Amsterdam, Californië en Londen. Dit uitgebreide evenement is onderdeel van TechEx en vindt plaats op dezelfde locatie als andere toonaangevende technologie-evenementen, waaronder de AI & Big Data Expo en Cyber Security Expo. Klik hier voor meer informatie.
IoT-nieuws mogelijk gemaakt door TechForge Media. Ontdek hier de andere aankomende technologie-evenementen en webinars van het bedrijf.
