Collectie vanaf Miljoenen gehackte computers, bekend als Aisuru en Kimwolf, zijn gebruikt om enkele van de grootste computers te lanceren gedistribueerde Denial of Service (DDoS)-aanvallen. ooit gezien. Nu hebben de wetshandhavingsinstanties van de Verenigde Staten ze samen met twee andere groepen gekaapte computers – ook wel botnets genoemd – in één massale verwijdering van het internet verwijderd.
Donderdag maakte het Amerikaanse ministerie van Justitie, in samenwerking met een bureau voor de bestrijding van cybercriminaliteit binnen het Amerikaanse ministerie van Defensie, bekend als de Defense Criminal Investigative Agency, bekend dat het in één operatie vier grote botnets had ontmanteld, waarbij de commando- en controleservers werden uitgeschakeld die werden gebruikt om een leger van gecompromitteerde apparaten in beslag te nemen, beheerd door hackers bekend als JackSkid, Mossad, Aisuru en Kimwolf. Samen hebben de exploitanten van de vier botnets meer dan 3 miljoen apparaten verzameld, aldus het ministerie van Justitie, en verkopen ze vaak de toegang tot die apparaten aan andere criminele hackers en gebruiken ze deze om hun slachtoffers te targeten met een stortvloed aan aanvalsverkeer dat websites en internetdiensten offline haalt.
Aisuru en Kimwolf, een ander maar verwant botnet aan Aisuru, bestaan samen uit meer dan een miljoen apparaten, Dat meldt DDoS-defensiebedrijf Cloudflarewaarbij Aisuru apparaten infecteert, variërend van DVR’s tot netwerkapparatuur tot webcams, en de Kimwolf-uitloper die Android-apparaten infecteert, waaronder smart-tv’s en settopboxen. Cloudflare zei dat de twee botnets, die samenwerken, afgelopen november een cyberaanval tegen Cloudflare-klanten hebben uitgevoerd, waarbij meer dan 30 terabit aan data per seconde werd bereikt, bijna het drievoudige van de vorige grootste aanval.
Er werden onmiddellijk geen arrestaties aangekondigd, maar in een verklaring van het ministerie van Justitie werd opgemerkt dat de Amerikaanse regering samenwerkte met de Canadese en Duitse autoriteiten, “die zich richten op de personen die dit botnet exploiteren.”
“De Verenigde Staten zijn standvastig in onze inzet om kritieke internetinfrastructuur te beschermen en cybercriminelen te bestrijden die de veiligheid ervan in gevaar brengen, waar ze ook wonen”, schreef de Amerikaanse advocaat Michael J. Heyman in een verklaring.
Van de vier botnets die tijdens de operatie werden geëlimineerd, was Aisuru de bekendste dankzij een reeks record- of bijna-record-cyberaanvallen die het afgelopen najaar uitvoerde. Botnets, waarvan het gebruik wordt verhuurd zoals veel ‘booter’-diensten die met brute kracht ontwrichtende mogelijkheden bieden aan iedereen die bereid is te betalen, zijn het duidelijkst gekant tegen gamingdiensten zoals Minecraft en onafhankelijke cyberbeveiligingsjournalist Brian Krebs. Krebs, die uitgebreid onderzoek heeft gedaan naar ondergrondse botnets en Aisuru in het bijzonder, werd herhaaldelijk aangevallen van botnets vorig jaar.
Vervolgens absorbeerde Cloudflare in november een recordbrekende gecombineerde aanval van Aisuru en Kimwolf die slechts 35 seconden duurde maar 31,4 terabit per seconde bereikte, een aanvalsvolume dat bijna drie keer zo groot was als alles wat eerder werd gezien. (Het bedrijf heeft niet bekendgemaakt welke van zijn klanten door de aanval zijn getroffen.)
In een rapport Met betrekking tot de toestand van het DDoS-ecosysteem beschrijft Cloudflare het maximale aanvalsverkeer van de Aisuru- en Kimwolf-botnets gecombineerd als gelijkwaardig aan “de gecombineerde populaties van Groot-Brittannië, Duitsland en Spanje die allemaal tegelijkertijd een websiteadres typen en vervolgens in dezelfde seconde op ‘enter’ drukken. Het botnet is in staat, zo schreven de analisten van Cloudflare, “het lanceren van DDoS-aanvallen die kritieke infrastructuur kunnen verlammen, de meeste cloudgebaseerde DDoS-beschermingsoplossingen kunnen ondermijnen en zelfs de connectiviteit van hele landen kunnen verstoren.”
In feite waren alle vier de door de Amerikaanse operatie ontwrichte botnets varianten van dat botnet Miraieen internet-of-things-botnet dat voor het eerst opdook in 2016, destijds records brak wat betreft de omvang van de uitgevoerde cyberaanvallen, en uiteindelijk werd gebruikt bij een aanval op domeinnaamserviceprovider Dyn, waarbij 175.000 websites in een groot deel van de Verenigde Staten tegelijkertijd werden platgelegd. De Mirai-codebase is het startpunt geweest voor tien jaar andere internet-of-things-botnets.
