Hoe organisaties botnetaanvallen kunnen beperken

Door Nicholas Fearn • 24 oktober 2024

Een uitgebreide door China gesteunde botnetcampagne die wereldwijd honderdduizenden met internet verbonden apparaten als wapen gebruikte voor verschillende kwaadaardige acties, heeft het belang benadrukt van het up-to-date houden van software en het vervangen van producten wanneer ze het einde van hun levensduur bereiken. Maar wat kunnen organisaties nog meer leren van dit incident, nu botnets steeds talrijker en geavanceerder worden?

Wat is er gebeurd

In september hebben het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk en zijn partners in de Verenigde Staten, Australië, Canada en Nieuw-Zeeland een rapport uitgegeven een adviserende waarschuwingsorganisatieHet gaat over een botnet met banden met China dat wordt gebruikt om Distributed Denial of Service (DDoS)-aanvallen uit te voeren, malware te verspreiden, gevoelige gegevens te stelen en andere schadelijke acties uit te voeren.

Het botnet heeft meer dan 260,000 apparaten met internetverbinding in Amerika, Europa, Afrika, Zuidoost-Azië en Australië gecompromitteerd. Hieronder vallen routers, firewalls, webcams, CCTV-camera's en andere apparaten, waarvan er veel kwetsbaar zijn voor cybersecurity-inbreuken omdat ze end-of-life zijn of niet gepatcht.

Het advies beweert dat een Chinees bedrijf genaamd Integrity Technology Group, waarvan wordt gedacht dat het banden heeft met de Chinese overheid, het botnet controleerde en beheerde. Ondertussen heeft de Chinese dreigingsactor Flax Typhoon het botnet gebruikt voor kwaadaardige activiteiten.

Degenen achter de malware gebruikten Mirai-botnetcode om deze apparaten te hacken en ze te wapenen voor kwaadaardige activiteiten. Mirai richt zich op verbonden apparaten die draaien op het Linux-besturingssysteem en werd voor het eerst opgemerkt door cybersecurity-onderzoekers bij MalwareMustDie in augustus 2016.

Ken Dunham, directeur cyberdreiging bij Qualys Threat Research Unit (TRU), beschrijft Mirai als een "complex botnetsysteem" dat wordt gebruikt voor cyberdreigingscampagnes "gerelateerd aan de oprichting, vrijgave van broncode en verschillende wijzigingen in aanvallen en doelen". Hij voegt toe: "Mirai blijft een krachtig botnet."

Botnets zijn absoluut geen nieuw fenomeen. Ze bestaan al bijna twee decennia, legt Matt Aldridge uit, principal solutions consultant bij IT-beveiligingsbedrijf OpenText Cybersecurity. Maar hij zegt dat gevallen waarin natiestaten kwaadaardige technologieën zoals botnets gebruiken, "een recentere ontwikkeling" zijn.

De belangrijkste oorzaken

Volgens Sean Wright, hoofd applicatiebeveiliging bij fraudedetectiespecialist Featurespace, infecteerde deze nieuwste botnetcampagne zo'n groot aantal internationale apparaten om drie belangrijke redenen.

Wright legt uit dat het eerste probleem is dat veel van deze producten het einde van hun levenscyclus hadden bereikt, wat betekent dat hun fabrikanten geen beveiligingsupdates meer uitbrachten. Maar hij zegt dat er gevallen kunnen zijn geweest waarin leveranciers gewoon niet wilden werken aan patches voor beveiligingsproblemen.

Hij zegt dat het tweede probleem is dat de firmware van IoT-apparaten "inherent onveilig is en vol zit met beveiligingslekken, waardoor ze gemakkelijk te kraken zijn. Tot slot zegt hij dat apparaten kwetsbaar kunnen worden voor botnetaanvallen omdat de eindgebruiker geen software-updates implementeert.

Wright voegt toe: "Ze weten niet hoe het moet, zijn zich niet bewust van de updates en het risico, of kiezen er gewoon voor om het niet te doen. We zien de eindresultaten hiervan keer op keer."

Aldridge van OpenText Cybersecurity legt uit dat cybercriminelen reverse engineering gebruiken om misbruik te maken van beveiligingslekken en de controle over verbonden apparaten over te nemen als onderdeel van botnetcampagnes, zelfs als een productfabrikant regelmatig software-updates en beveiligingspatches uitbrengt.

Dunham van Qualys Threat Research Unit is van mening dat de "diverse" aard van Mirai een primaire oorzaak is van dit botnet. Volgens hem maakt de kwaadaardige code gebruik van exploits van meerdere jaren om "kwetsbare apparaten snel in gevaar te brengen wanneer de timing het beste is" en om "de verspreidingsmogelijkheden" van de malware te maximaliseren.

Belangrijkste lessen

Aangezien veel van deze apparaten niet gepatcht waren, is er volgens Aldridge van OpenText Cybersecurity een duidelijke les te trekken uit deze laatste botnetcampagne. Mensen moeten er namelijk altijd voor zorgen dat hun verbonden apparaten up-to-date zijn.

Voor Aldridge is een andere belangrijke les dat organisaties apparaten correct moeten configureren voordat ze worden geïmplementeerd. Hij gelooft dat dit de sleutel is tot het garanderen van de "maximale beveiliging" van verbonden apparaten. Aldridge legt uit: "Als verbindingen met een apparaat niet zijn ingeschakeld, wordt het extreem moeilijk om dat apparaat te compromitteren of zelfs te ontdekken."

Wright van Featurespace raadt organisaties aan om een inventaris van apparaten en software te maken. Door regelmatig productupdatefeeds te monitoren als onderdeel hiervan, missen organisaties volgens hem de nieuwste updates niet.

Bij de aanschaf van apparaten adviseert Wright organisaties om ervoor te zorgen dat de fabrikant voldoende ondersteuning biedt en de levensduur van zijn producten duidelijk definieert. En wanneer een apparaat niet meer in aanmerking komt voor ondersteuning, voegt Wright toe dat organisaties deze zo snel mogelijk moeten vervangen.

Dunham van Qualys Threat Research Unit (TRU) denkt hetzelfde als Wright en zegt dat het duidelijk is dat organisaties een opvolgingsplan moeten ontwikkelen en implementeren waarmee ze alle vormen van hardware- en softwarerisico's 'in de loop van de tijd' kunnen beheren.

"Zorg dat u een rotsvaste CMDB [configuratiebeheerdatabase] en inventaris hebt die u kunt vertrouwen, activa die zijn geclassificeerd en waarvan bekend is dat ze ermee in overeenstemming zijn, en EOL wordt geïdentificeerd en beheerd via een bedrijfsrisicobeleid en -plan", zegt hij. "Verwijder EOL en niet-ondersteunde OS-hardware en -software uit de productie om het risico en het aanvalsoppervlak zo goed mogelijk te verkleinen."

Andere stappen die u kunt nemen

Zijn er, naast het regelmatig updaten van de software van verbonden apparaten, nog andere manieren waarop organisaties botnets kunnen voorkomen? Aldridge van OpenText Cybersecurity gelooft van wel. Hij is van mening dat organisaties hun apparaten en systemen ook moeten controleren op tekenen van onregelmatig verkeer en activiteiten.

Hij adviseert ook om netwerken te segmenteren en ze te beveiligen met behulp van meerdere beschermingslagen. Hij voegt daaraan toe dat deze stappen ‘het risico zullen verminderen en de impact van een mogelijke inbreuk zullen beperken’.

Wright van Featurespace is het ermee eens dat organisaties extra aandacht moeten besteden aan hun netwerkbeveiliging om botnets te beperken. Hij zegt dat tools als IPS (Intrusion Protection System) of IDS (Intrusion Detection System) gebruikers op de hoogte stellen van mogelijke kwaadaardige activiteiten en deze blokkeren.

Dunham van Qualys Threat Research Unit (TRU) dringt er bij organisaties op aan om te overwegen of ze over voldoende sterke cyberverdediging beschikken om botnets aan te pakken, zoals zero-trust-architectuur. Dunham zegt dat deze versterkt moeten worden met continue operationele verbeteringen door purple learning te omarmen, waarbij organisaties hun cyberverdediging versterken met zowel offensieve als defensieve benaderingen.

Het belang van industriële raamwerken

Het aannemen van een door de industrie erkende professionele raamwerk zoals ISO 27001 helpt organisaties ook bij het ontwikkelen van een brede en proactieve cybersecurityaanpak om botnets en andere cyberdreigingen op elk moment te voorkomen.

Wright van Featurespace legt uit dat branchespecifieke raamwerken organisaties een benchmark en een reeks vereisten bieden die ze kunnen volgen om hun cyberdefensie te versterken en cyberrisico's te verlagen.

Hij voegt toe: “Dit helpt potentiële klanten ook om een groter vertrouwen te hebben dat de juiste beveiligingsmaatregelen zijn op hun plaats.”

Volgens Aldridge van OpenText Cybersecurity zou het naleven van een branchekader organisaties moeten helpen inzicht te krijgen in de processen en beleidsregels die zij moeten hanteren om apparaten veilig aan te schaffen, te implementeren, te bewaken en af te voeren.

Botnets kunnen ernstige gevolgen hebben voor slachtoffers, van datadiefstal tot DDoS-aanvallen. En als u uw apparaten niet regelmatig bijwerkt of producten gebruikt die aan het einde van hun levensduur zijn, is de kans groot dat een dreigingsactor een van uw apparaten gebruikt om dergelijke snode acties uit te voeren.

Maar om dit te voorkomen, is het niet voldoende om alleen te reageren op bedreigingen zodra u erover hoort. Het vereist een langetermijninzet voor cyberbeveiliging, die kan worden vereenvoudigd via branchespecifieke kaders.

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 8 januari 2026

Het compliance-tijdperk: hoe regelgeving, technologie en risico's de normen in het bedrijfsleven herschrijven (blog)

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Compliance is voor de meeste bedrijfsleiders niet het meest aantrekkelijke aspect. Ze zien het misschien als een noodzaak om druk van de regelgeving te vermijden, maar toch...

Nicholas Fearn

Cyber security 27 November 2025

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering lamleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak...

Nicholas Fearn

Cyber security 4 September 2025

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft de voortdurende cyberbeveiligingsrisico's van hun bedrijf aan het licht gebracht.

Nicholas Fearn