Aanvallen waren gericht op VoIP-telefoons en IoT-apparatuur

Russische internetaanvallen tijdens summit Donald Trump-Kim Jong-un

Nieuws
Security
Redactie WINMAG Pro
Security-onderzoekers van F5 Networks hebben ontdekt dat er veel Russische internetaanvallen op Singapore zijn uitgevoerd tijdens de ontmoeting tussen president Trump en Kim. Van al het kwaadwillende inkomende verkeer op 12 juni 2018 kwam 88 procent uit Rusland.

De aanvallen tijdens de summit waren met name gericht op VoIP-telefoons die veel in hotels worden gebruikt en op IoT-apparatuur.

Protocol SIP 5060

Het verkeer was met name verkennend, op zoek naar gaten in kwetsbare systemen, afkomstig van het Russische IP-adres 188.246.234.60, gevolgd door daadwerkelijke aanvallen uit zowel Rusland en Brazilië. Het belangrijkste doelwit was het protocol SIP 5060, dat gebruikt wordt door VoIP-telefoons om communicatie te verzenden als tekst.

Het tweede aanvalsdoel was telnet, typerend voor aanvallen op apparatuur die in de buurt is van interessante doelwitten. Ten slotte werden er veel aanvallen op poort 7457 uitgevoerd, vergelijkbaar met de grootschalige Mirai-botnet en Annie aanvallen op door ISP beheerde routers.

Telnet

SIP is een protocol voor IP-telefonie, waarbij 5060 een specifieke onversleutelde poort is. De onderzoekers denken dat de aanvallers onbeveiligde telefoons of mogelijk een VoIP-server probeerden over te nemen. Telnet is een favoriet doelwit van aanvallers om controle te krijgen over IoT-apparatuur. Volgens de onderzoekers is het aannemelijk dat de aanvallers via deze weg toegang wilden krijgen tot andere apparatuur die ze konden inzetten voor communicatie-spionage of diefstal van gegevens.

Poort 7457 wordt door ISP’s gebruikt om op afstand routers te beheren. Mirai en Annie hebben hiermee voor miljoenen euro’s schade weten aan te brengen eind 2016. Als apparaten in Singapore deze poort open hadden staan en de standaard admin-gegevens gebruiken, is het aannemelijk dat de aanvallers toegang hebben gekregen en zicht hadden op het verkeer door deze routers, de ‘man in the middle’-aanval.

Security-patches

De onderzoekers van F5 Labs hebben nog niet helder wat het exacte doel was van de aanvallen, en of de aanvallen succesvol waren. Hier doen ze nog verder onderzoek naar. Hoewel bekend is dat de Russische overheid verschillende partijen inhuurt om dergelijke aanvallen uit te voeren, is niet duidelijk of deze aanvallen ook direct door hogerhand zijn opgelegd.

De onderzoekers adviseren om beheer op afstand altijd te beschermen met een firewall, VPN of het te beperken tot een specifiek aangewezen beheernetwerk en nooit een open communicatie met het internet te handhaven. Verder moeten standaard login-gegevens worden aangepast en moeten security-patches worden doorgevoerd zodra ze vrij worden gegeven door de fabrikant.

Lees meer

F5 Distributed Cloud Services voegt beheer en beveiliging samen in SaaS-platform
F5 Distributed Cloud Services voegt beheer en beveiliging samen in SaaS-platform
Amerikaanse regering beperkt gebruik Kaspersky-software door overheidsdiensten
Amerikaanse regering beperkt gebruik Kaspersky-software door overheidsdiensten
Trump-tweet: Amerikaans-Russische cyberdienst kan er niet komen
Trump-tweet: Amerikaans-Russische cyberdienst kan er niet komen
Valt Donald Trump met deze tweet Jeff Bezos aan?
Valt Donald Trump met deze tweet Jeff Bezos aan?
Dit vertelden de Apple-, Amazon en Microsoft-CEO’s aan Trump
Dit vertelden de Apple-, Amazon en Microsoft-CEO’s aan Trump
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie