Ontdekt Chinees botnetwerk - advies

Het NCSC en Digital Trust Center (DTC) zijn gisterenmiddag geïnformeerd over een advies van de FBI, het Cyber National Mission Force (CNMF) en de National Security Agency (NSA). Dit advies is geschreven naar aanleiding van een Chinees botnetwerk van ruim 200.000 apparaten dat ontdekt is door deze diensten. Hiervan bevinden zich ook duizenden apparaten in Nederland. Het betreft een grote verscheidenheid aan Small Office en Home Office (SOHO) apparatuur – dit zijn producten zoals internetmodems, routers en diverse Internet of Things (IoT-) apparaten.

Wat is het risico?
In een botnet kunnen apparaten worden gebruikt voor Distributed Denial of Service (DDoS)-aanvallen. Hierbij wordt veel verkeer naar een specifiek doelwit gestuurd om een website of dienst offline te halen. Dit kan grote economische schade aanrichten.
De groei van IoT-apparaten zorgt voor een grotere digitale aanvalsvector. Dit maakt het moeilijker om alle apparaten effectief te beveiligen, wat de digitale weerbaarheid van Nederland in het geding brengt.

Wat kun je doen?
Waar mogelijk worden eigenaren van geraakte apparatuur genotificeerd, dit betreft echter slechts een deel van de totale hoeveelheid getroffen apparaten in Nederland. Ga er niet van uit dat je apparaat/apparaten geen onderdeel van het botnet zijn als je geen notificatie hebt gehad.

Het advies is daarom om SOHO-apparatuur te controleren op updates en deze door te voeren wanneer er een update beschikbaar is. Apparatuur die direct aan het internet wordt gekoppeld, is kwetsbaar voor misbruik. De FBI deelt de volgende maatregelen:

Schakel ongebruikte diensten en poorten uit, zoals automatische configuratie, externe toegang of bestanddelingsprotocollen. Routers en IoT-apparaten bieden vaak functies zoals Universal Plug and Play (UPnP), opties voor extern beheer en bestanddelingsdiensten, die door kwaadwillenden kunnen worden misbruikt om initiële toegang te verkrijgen of om malware naar andere apparaten in het netwerk te verspreiden. Schakel deze functies uit als ze niet nodig zijn;

Implementeer netwerksegmentatie om ervoor te zorgen dat IoT-apparaten binnen een groter netwerk bekende, beperkte en beheersbare risico’s met zich meebrengen. Pas het principe van minimale privileges toe en geef apparaten alleen de noodzakelijke connectiviteit om hun beoogde functie uit te voeren;

Monitor het netwerkverkeer op hoge volumes. Omdat DDoS-aanvallen afkomstig van botnets in eerste instantie op normaal verkeer kunnen lijken, is het essentieel voor organisaties om afwijkende verkeersvolumes te definiëren, te monitoren en hierop voorbereid te zijn. Monitoring kan worden uitgevoerd via firewalls of inbraakdetectiesystemen. Sommige netwerkoplossingen, zoals proxy’s, kunnen helpen DDoS-incidenten te beperken;

Voer regelmatig patches en updates uit, inclusief software- en firmware-updates. Regelmatig patchen vermindert veel ernstige beveiligingsrisico’s. Maak, indien beschikbaar, gebruik van automatische updatekanalen van vertrouwde netwerklocaties. Vertrouw niet op e-mails die software-updates beloven via bijlagen of links naar onbetrouwbare websites;

Vervang standaardwachtwoorden door sterke wachtwoorden. Veel IoT-apparaten vereisen een beheerderswachtwoord naast andere accountwachtwoorden. Zorg ervoor dat alle standaardwachtwoorden zijn gewijzigd en hanteer een sterk wachtwoordbeleid. Schakel indien mogelijk wachtwoordtips uit;

Plan apparaat-reboots. Het herstarten van een apparaat beëindigt alle lopende processen, wat bepaalde soorten malware kan verwijderen, zoals “fileless” malware die in het geheugen van het apparaat draait. Aangezien een herstart legitieme activiteiten kan verstoren, moeten gebruikers zich voorbereiden op mogelijke serviceonderbrekingen. Sommige apparaten bieden geplande herstartopties, zodat deze op gewenste momenten kunnen plaatsvinden. Als een gecompromitteerd apparaat niet reageert op herstartcommando’s op afstand, herstart het dan handmatig;

Vervang apparatuur die het einde van de levensduur heeft bereikt door apparaten die nog door de leverancier worden ondersteund.