'600.000 routers van Amerikaanse internetprovider defect geraakt bij aanval'

Bij een Amerikaanse internetprovider zijn in oktober vorig jaar 600.000 routers defect geraakt door malafide firmware-updates, zeggen onderzoekers van cybersecuritybedrijf Lumen. De aanval vond plaats in de periode van 25 tot en met 27 oktober.

De aanval is uitgevoerd bij drie verschillende soorten routers: de ActionTec T3200s, ActionTec T3260s en Sagemcom F5380. De onderzoekers van Lumen zeggen dat de aanvallers opzettelijk een grootschalige storing wilden veroorzaken, maar het precieze motief en wie achter de aanval zit, zijn niet bekend.

Na het installeren van de malafide firmware-update stopten de routers met werken. Alle getroffen routers moesten vervangen worden. Dat is uniek, zeggen de onderzoekers, die zelden een aanval hebben gezien waarbij op zo'n grote schaal routers moesten worden vervangen. Volgens Lumen heeft het ook langer geduurd om nieuwe routers te leveren en installeren doordat een groot deel van de getroffen huishoudens zich op het platteland bevindt.

Een andere bijzonderheid is dat de aanval beperkt bleef tot het asn van de provider. Normaliter hebben hackers het gemunt op een type router, terwijl in dit geval de aanval werd uitgevoerd bij drie verschillende types van verschillende fabrikanten. De onderzoekers zijn erin geslaagd om een gedeelte van de malware te achterhalen, maar het is nog altijd niet duidelijk hoe het de hackers is gelukt om de update op zoveel apparaten te installeren.

Reacties (99)

Nice Guy Eddie

31 mei 2024 13:05

Als ik dit lees is het misschien niet handig om automatische updates op je router (Asus in mijn geval) aan te vinken? Als die service van Asus wordt gehacked kan er dus malafide firmware worden geinstalleerd?

SilentDecode @Nice Guy Eddie • 31 mei 2024 13:32

Ik zet automatische firmware updates *ALTIJD* uit bij apparaten. Stel een bedrijf released een firmware, die vervolgens na een paar dagen, niet goed blijkt te zijn. Dan zit je er mee opgescheept én dan word terugdraaien lastig.

Ik ben liever 5 a 10 min langer bezig met het lezen van de releasenotes van een firmware, dan dat ik er achteraf achterkom hoe het apparaat zichzelf de nek om heeft gedraaid.

Sowieso zijn over het algemeen in de IT de automatische firmware updates een dikke vette no-go.

Dreamvoid @SilentDecode • 31 mei 2024 14:08

Het probleem is dat gebruikers doorgaans geen handmatige firmware installeren, en je dus als provider zit met een hele vloot vol routers die al tien jaar geen update meer gezien hebben, en vrijwel 100% gegarandeerd inmiddels in een botnet zitten.

SilentDecode @Dreamvoid • 31 mei 2024 14:09

Ik had het in m'n tekst ook niet echt over de 'gemiddelde gebruiker'. We zitten hier op Tweakers en ik ga er wel van uit dat mensen wel een beetje weten wat ze doen als ze hier zitten.

Of denk ik dan te ruim?

Dreamvoid @SilentDecode • 31 mei 2024 14:50

Het is zelfs voor ervaren netwerk professionals behoorlijk lastig om de firmware van al hun headless apparatuur altijd up to date te houden.

Pietervs @SilentDecode • 31 mei 2024 15:56

Met het lezen van de releasenotes ben je niet beschermd tegen fouten in de software. En die kunnen zich soms pas na verloop van tijd laten zien (bijvoorbeeld doordat we “ineens” veel meer HTTPS gaan gebruiken).

Maar ik ben het wel met je eens dat in de IT automatische updates zoveel mogelijk uit moeten staan. Uitzonderingen zijn zaken die vaak worden ge-update (virusscanners, IPS/IDS systemen en dergelijke).

SilentDecode @Pietervs • 1 juni 2024 01:10

Met het lezen van de releasenotes ben je niet beschermd tegen fouten in de software.

Nee, maar als je gewoon het beleid aanhoud om nooit de firmware direct te flashen, maar altijd gewoon een week of 2 te wachten, dan zit je vaak wel goed.

Beschermt dit je tegen corrupte firmware? Nee
Maar helpt het wel om te wachten met flashen? Ja

bzuidgeest

Verenigde staten

@SilentDecode • 1 juni 2024 09:05

Zijn er nog release notes waar wat nuttigs in staat dan? De meeste die ik zit gaan niet verder dan "we hebben iets veranderd"

SilentDecode @bzuidgeest • 1 juni 2024 11:45

Zijn er nog release notes waar wat nuttigs in staat dan?

Voor firmware vaak wel. Ik heb recentelijk nog een BIOS geupdate van een mini-PC die ik heb. Daarin stonden behoorlijk wat optimalisaties verwerkt voor de CPU, RAM en NVMe. Ook stond er een lijst van 7 CVE fixes in vermeldt.

De meeste die ik zit gaan niet verder dan "we hebben iets veranderd"

Dit heb ik serieus nog nooit gezien bij firmware. Altijd alleen maar bij apps op m'n telefoon, maarja, dat is geen firmware.

smokeyslim @SilentDecode • 2 juni 2024 14:00

In welke release notes wordt gezet dat een update jouw apparaat stuk maakt?
Wat doe je als je wat vindt dan, nooit meer updaten? Wat doe je met veiligheids updates die gebundeld zitten in die update?

Het klinkt leuk wat je zegt maar imho is het verspilling van kostbare tijd.

SilentDecode @smokeyslim • 2 juni 2024 14:06

In welke release notes wordt gezet dat een update jouw apparaat stuk maakt?

Nooit beweerd dat dit er in zou staan.. Dat verzin je nu zelf, of je snapt niet wat ik zeg.

Wat doe je als je wat vindt dan, nooit meer updaten?

Wachten tot er een patch komt.....

Het klinkt leuk wat je zegt maar imho is het verspilling van kostbare tijd.

Releasenotes zijn er met een reden hé.. Het is geen verspilling als je daarna nog een werkend apparaat hebt. En met de hoeveelheid CVE's tegenwoordig, is het wel fijn om te weten wat er gepatched word.
Jij noemt het tijdsverspilling, maar ik noem het 'weten wat je doet'.

smokeyslim @SilentDecode • 2 juni 2024 19:33

Aha ja je hebt gelijk, ik begrijp het niet. Omdat je de notes van te voren leest gaat je apparaat niet stuk?

Wellicht dat het maken van een automatische backup/restore procedure je uit de jaren 90 kan helpen, maar anders veel lees plezier!

Infor40 @Nice Guy Eddie • 31 mei 2024 13:12

Gezien verschillende type routers en merken getroffen zijn gok ik niet dat dit is verlopen over een auto-update systeem. Immers die inrichting zal verschillen en je zou verwachten dat dan ook handtekening bijv. verschilt. Maar goed zolang niet goed begrepen wordt hoe het gelukt is, blijft het wat tasten in het duister natuurlijk.

SunnieNL

@Infor40 • 31 mei 2024 14:24

Mijn ziggo modem haalt anders zijn updates gewoon bij Ziggo vandaan. Ziggo pushed de update naar de modem. Gezien het hier gaat om een ISP is de kans groot dat die ook de modems heeft geleverd met een speciale custom firmware die de ISP zelf naar de modem pushed na een update.
Hack de ISP, vind de tools die de ISP gebruikt om de firmware om te zetten naar de ISP firmware (ander logo bv, opties uitschakelen), maak een update en zet die klaar op het ISP netwerk. Zo moeilijk hoeft dat allemaal niet te zijn als je uitkomt op het werkstation van de persoon die dat normaal allemaal regelt.

SMSfreakie @SunnieNL • 31 mei 2024 16:13

dit verwacht ik dus ook..
al is de vraag hoe updates gepushed worden.. bij ziggo is het afaik pas als het modem herstart

Antiloop @SMSfreakie • 31 mei 2024 22:11

die kunnen ze ook laten rebooten bij ziggo, en dus zo de update triggeren

SMSfreakie @Antiloop • 1 juni 2024 10:26

Zeker waar.. Mag alleen hopen dat er iig enige beperkingen in zitten.. Dat je niet alle ziggo modems tegelijk kan rebooten met 1 druk op de knop..

SG @SMSfreakie • 2 juni 2024 09:33

Gezien er lange tijd spanne is zal updaten van klanten in fases gaan

Antiloop @SMSfreakie • 2 juni 2024 19:29

Standaard zal dat niet kunnen door een helpdesk en normaal idd gefaseerd/gepland, maar als je de firmwares kunt manipuleren dan kun je vast die andere systemen ook naar je eigen hand zetten

borgdaville @Infor40 • 31 mei 2024 13:23

zou mij niet verbazen als dit in het update / management systeem van de provider zit, niet gek dat ze daar 1 platform hebben voor al hun devices.

jetspiking Freelanceredacteur @Nice Guy Eddie • 31 mei 2024 13:10

Tja, aan de andere kant krijgen routers ook security updates. De kans dat een hack als deze bij een fabrikant plaatsvindt, is naar mijn inziens niet zo groot. In feite geldt deze situatie voor alle apparatuur die geüpdate kan worden, zoals pc's, telefoons, etc. Om dan niets meer te updaten levert je denk ik meer hoofdpijn op.

The Zep Man

Beveiliging en antivirus
Verenigde staten

@jetspiking • 31 mei 2024 13:25

@Nice Guy Eddie noemt het uitschakelen van automatische updates, niet om helemaal geen updates meer te installeren. Zo kan je bijvoorbeeld zelf een regime aanhouden dat je enkel updates installeert die al een tijdje uit zijn. Bij fouten in updates komen die vaak snel aan het licht, en voor juist geconfigureerde routers (afgeschermde managementinterface, etc.) maakt het vaak niet uit dat een update wat later wordt uitgerold.

Hatsjoe @The Zep Man • 31 mei 2024 13:33

Maar je weet natuurlijk ook dat voor 99% van de gebruikers "automatische updates" uitschakelen praktisch gelijk staat aan geen updates meer installeren. De doorsnede gebruiker gaat echt geen update regime hanteren.

The Zep Man

Beveiliging en antivirus
Verenigde staten

@Hatsjoe • 31 mei 2024 13:36

Maar je weet natuurlijk ook dat voor 99% van de gebruikers "automatische updates" uitschakelen praktisch gelijk staat aan geen updates meer installeren. De doorsnede gebruiker gaat echt geen update regime hanteren.

Uiteraard. Nu gaat het artikel over routers van een ISP, dus waarschijnlijk bestaat de optie sowieso (terecht) niet voor de gebruiker om automatische updates uit te schakelen. Mijn reactie richt zich meer op de technisch onderlegde tweakers, die niet onder de 99% vallen. Zo heb ik een manier om OpenWRT routers/access points automatisch van updates te voorzien, met optioneel een vertraging.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:18]

Aldy @The Zep Man • 31 mei 2024 14:33

Natuurlijk gaat het vooral over de technisch onderlegde tweakers, maar iedereen kan toch eenvoudig een update regime maken: Gewoon in je agenda zetten en laten herhalen, bijvoorbeeld elke week. Ik denk juist dat een update regime maken en uitvoeren het eenvoudigst is.

The Zep Man

Beveiliging en antivirus
Verenigde staten

@Aldy • 31 mei 2024 14:53

maar iedereen kan toch eenvoudig een update regime maken: Gewoon in je agenda zetten en laten herhalen, bijvoorbeeld elke week. Ik denk juist dat een update regime maken en uitvoeren het eenvoudigst is.

Ik denk dat gewone gebruikers daarvoor de vaardigheden en de discipline missen. Zelf wil ik zelfs die discipline vermijden, dus automatiseer ik het zelf.

aap @Hatsjoe • 31 mei 2024 17:14

Deze ISP had misschien wel een beperkte bètatest kunnen doen met een klein aantal klanten. Upgrade daar de firmware en als na een maand er geen grootschalige problemen gemeld zijn, dan pas de upgrade uitrollen naar de rest.

Maar als de hack zo geïmplementeerd was dat hij pas na langere tijd zich manifesteert, dan helpt dit ook niets.

Bender @Nice Guy Eddie • 31 mei 2024 13:08

Dat geld met iedere automatische update, van die van Windows tot die op je smartphone.

D11 @Bender • 31 mei 2024 15:19

Windows updates zijn digitaal ondertekend, en sommige andere update processen ook. Moeten ze ook het handtekeningcertificaat te pakken krijgen.

Bender @D11 • 31 mei 2024 16:56

Als ze in staat zijn een hack te doen op het update platform, acht ik het net zo goed mogelijk een handtekeningcertificaat te stelen.

Zal ook niet de eerste keer zijn.

pagani @Nice Guy Eddie • 31 mei 2024 13:09

Automatische updates van kritisch infrastructuur is sowieso een risico, want een normale update kan natuurlijk ook gewoon functionaliteit slopen. Handiger is dan om actief te updaten met een controle of het werkt, zodat je nog een roll-back kan doen.

borgdaville @pagani • 31 mei 2024 13:22

Inderdaad krtisiche infrastructuur, en daar zorg je dan wel dat in place is dat deze snel en gecontroleerd alsnog worden geupdate.

Voor alles waar geen goed patch/testbeleid en beheer op zit is denk ik automatisch updaten de way to go, risico van niet updaten is groter dan dat dit een keer misgaat, dit geldt natuurlijk wel voor de gerenomeerde hardware waar ook aan de achterkant alles op orde is om een hack als deze te voorkomen.

latka @borgdaville • 31 mei 2024 13:31

Zoals Solarwinds of Gigabyte?

Je weet eigenlijk nooit hoe goed een fabrikant het op orde heeft tot het misgaat. Dan is duidelijk dat ze het niet op orde hebben.

n4m3l355 @Nice Guy Eddie • 31 mei 2024 13:17

Niet handig maar hoevaak zal anders een modem een wellicht kritieke update krijgen als we afhankelijk zijn van de gebruiker? Dit is een zeer uitzonderlijke situatie waarbij vermoedelijk de lasten niet opwegen tegen de baten.

boxlessness @Nice Guy Eddie • 31 mei 2024 13:37

Ja, nee, depends...
Deze attack-vector is een "supply-chain-attack", en geldt voor alles waarvoor je updates naar binnen trekt. Het lastige van een software-keten is dat er overal in de keten iets mis kan gaan. En die ketens zijn langer dan menig mensen zich realiseren.
Wanneer je bijvoorbeeld een software update binnen trekt van Adobe, dan kun je Adobe an-sich prima vertrouwen... maar het kan zijn dat in de software van Adobe een ander package/library zit waar malafide code ingestopt is. Bijvoorbeeld een user-interface package waarmee ze UI's maken. Of parser voor netwerkverkeer.
Misschien dat er in de derde/vierde/vijfde schakel in de keten van software malafide code ingestopt is, want die UI-package gebruikt vervolgens weer andere packages... welke vervolgens weer meer packages gebruiken.

Dit is een groot issue in software-land... van de ene kant wil je het wiel niet opnieuw uitvinden en zit de CEO in je nek te hijgen om dingen af te krijgen... van de andere kant weet je dat je met ieder package dat je naar binnen trekt je attack-surface vergroot.

downtime @Nice Guy Eddie • 31 mei 2024 13:41

Je kunt het ook omdraaien. Automatische updates uitzetten vergroot het risico dat je ooit slachtoffer wordt van een kwetsbaarheid die al gepatched was maar die jij nog niet geinstalleerd had. Want hoe vaak ga je een modem nu updaten? Waarschijnlijk nooit.

Klaus_1250 @Nice Guy Eddie • 31 mei 2024 14:00

Je kan het uitvinken, maar als je de kleine letters leest, zul je zien dat ook als de optie staat uitgevinkt, ASUS nog steeds updates kan pushen indien ze deze kritiek vinden.

beerse @Nice Guy Eddie • 31 mei 2024 14:29

Bedenk dat het nu nieuws is dat de wereld over gaat omdat er een keertje iets onwenselijks gebeurt waar er netjes en braaf regelmatig wordt ge-update.

In al die gevallen waar iets onwenselijks gebeurt omdat er niet wordt ge-update, is het al lang geen nieuws meer. Daar gaan we er van uit dat er onwenselijke zaken gebeuren.

Whatts @Nice Guy Eddie • 31 mei 2024 15:05

Het gaat om 3 specifieke modellen, dus zo goed als zeker zijn dit routers die door de provider zelf uitgedeeld worden aan eindklanten. Dit is dikwijls met een custom firmware, en mogelijk heb je als eindgebruiker helemaal geen controle over de firmware (waarmee ik bedoel dat je de firmware zelf niet kan updaten, of automatsische updates niet kan uitschakelen). De provider pusht zelf de firmware naar de toestellen, en ik vermoed dan ook dat de provider gehackt is (en onwetend de malafide firmware gepusht heeft).

supertheiz @Nice Guy Eddie • 31 mei 2024 16:29

Van wat ik op Reddit heb gezien, had deze provider bijzondere verdienmodellen. Zo moest je bijvoorbeeld betalen als je een 3e computer wilde gebruiken op je netwerk. Zoals je kan begrijpen had je als klant ook geen toegang tot de router. De provider gaf overigens ook geen prioriteit aan security of updates.

ernstoud

Modems en routers

@Nice Guy Eddie • 31 mei 2024 16:31

Zeker. Maar in dit geval waren het routers beschikbaar gesteld door een ISP. Meestal kun je daar updates niet van tegenhouden.

ibmpc @Nice Guy Eddie • 1 juni 2024 01:04

Ik mag toch hopen dat het updatesysteem de eigenaar van het certificaat checkt?

Wel heb ik onlangs een NAS gezien van een of ander vaag merk die automatische updates probeerde op te halen van een verlopen domeinnaam. Dus ja, misschien kun je beter zelf je updates doen. Maar dan moet je als thuisgebruiker wel een assetlijst hebben van de apparaten die updates nodig hebben.

Ik heb mijn kabelmodem vervangen door een ander merk en het MAC adres doorgegeven aan de provider. Biedt maar 1% extra beveiliging, maar dan weet ik in ieder geval waar ik de updates vandaan kan halen en wanneer ik m'n modem moet vervangen.

vinny194 31 mei 2024 13:09

Dan blijkt er toch meer open te staan naar de buitenwereld dan ik had verwacht.

Het lijkt me logisch dat de provider bij het modem moet kunnen maar dat gaat toch neem ik aan via een afgeschermd netwerk (soort vpn achtig) en niet via het public ip of local ip als de gebruiker compromised zou zijn. De gebruiker kan over het algemeen geen firmware updaten

[Reactie gewijzigd door vinny194 op 23 juli 2024 00:18]

Aaargh! @vinny194 • 31 mei 2024 13:35

Het lijkt me logisch dat de provider bij het modem moet kunnen

Het gaat hier niet over modems maar over routers. Ik kan geen enkele reden bedenken waarom een ISP bij de router zou moeten kunnen.

Een ISP moet een netwerk aansluiting en een bijhorend routeerbaar IP leveren. Alles daarachter hebben ze niets mee te maken.

Z80 @Aaargh! • 31 mei 2024 14:08

Sorry? Maar hoe gaat de data van jou modem ooit op internet terecht komen zonder routers van de ISP.
En die dingen moeten ook beheerd worden.

edit.
En het gaat in dit geval wel om de modem\router bij de klant. En ja als die van de provider zijn krijgen deze ook de updates via de provider.

[Reactie gewijzigd door Z80 op 23 juli 2024 00:18]

Aaargh! @Z80 • 31 mei 2024 14:35

Mijn punt is dat een ISP helemaal geen router moet leveren, alleen een NTU. Er zijn meerdere redenen waarom het een slecht idee is dat je router geleverd en beheerd wordt door de ISP:

Je krijgt een monocultuur van hardware op het netwerk van een ISP. Als je een exploit vind in de hardware die door een ISP geleverd wordt kan je meteen alle klanten van een ISP targetten, allemaal netjes in bekende IP ranges.
De router is de gateway tussen je vertrouwde LAN, en het onvertrouwde internet. Wie dit beheert heeft dus ook de mogelijkheid jouw LAN te benaderen. Of anders gezegd: als je een router hebt die door de ISP geleverd en beheerd wordt dan kan je je LAN niet meer als vertrouwd netwerk beschouwen. En het is niet alleen je ISP waar je bang voor moet zijn, dat maakt dit nieuwsbericht wel duidelijk. In dit geval haalden ze alle routers offline, maar ze hadden ze ook kunnen gebruiken om in het LAN van alle klanten rond te neuzen. Hoe lang voordat dat ontdekt was?

Dreamvoid @Aaargh! • 31 mei 2024 14:52

Het gevaar dat gebruikers hun firmware niet updaten is veel groter. Als je mensen hun eigen router laat beheren garandeer je dat een groot percentage van je gebruikers een router heeft die in een botnet zit, met grote impact op het verkeer op je netwerk.

Ja, er zitten inderdaad een paar honderd experts tussen die hun router updates wel handmatig en op tijd doorvoeren en gevaarlijke instellingen niet doen.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 00:18]

Z80 @Aaargh! • 31 mei 2024 18:29

Er zit een groot verschil in beheren en beheren.
Een fritzbox kan bijvoorbeeld geconfigureerd worden om zijn updates en wan settings bij de isp op te halen. Maar de wan kant heeft geen toegang tot de lan kant. En kan deze ook niet beheren.
De kwello boxen daar in tegen waren (en mogelijk nog) wel volledig open voor de isp.

En niet leveren van een router bij een verbinding? Hoe zie je dat voor je? Mensen zonder kennis van de techniek iets laten aanschaffen en configureren? Een isp die voor alle mogelijke merken een handleiding moet aan leveren op een usb stick, want een internet verbinding heb je nog niet.
Of een bepaald model aanraden, hier op papier een handleiding bij leveren, wat weer een mono cultuur oplevert. en in dit geval eentje zonder updates.

Aaargh! @Z80 • 31 mei 2024 19:57

En niet leveren van een router bij een verbinding? Hoe zie je dat voor je? Mensen zonder kennis van de techniek iets laten aanschaffen en configureren?

Op dezelfde manier als dat gaat bij b.v. elektriciteit en gas. Daar levert de netwerk beheerder ook alleen de hoofdaansluiting en is alles daarachter je eigen verantwoordelijkheid. Hoeveel mensen ken jij die zelf hun CV ketel installeren? Dat laat je doen door een gecertificeerd bedrijf, inclusief onderhoud.

Netwerk is precies zoiets.

hidden @Aaargh! • 1 juni 2024 00:52

Het probleem is dat de klant gepamperd wil worden. Geen wifi op zolder ? Dan stap ik wel over. En zo gaat het steeds een stapje verder.
Wifi is nu marketing geworden waar het eerst een probleem van de klant was. Voor ondersteuning door de helodesk is het ook makkelijker en dus goedkoper om maar een paar modellen te ondersteunen.

_Pussycat_ @hidden • 1 juni 2024 07:34

Dat een klant een goed internet-product wil is een probleem? Wat een ontzettend autistische nerd-mentaliteit.

Wil je geen blikken die makkelijk te openen zijn en ze in plaats daarvan met een mes openpriegelen?
Wil je geen betrouwbare auto, en liever zelf de onstekingsvertraging en choke instellen?
Wil je in de winter geen fruit kunnen eten?

Z80 @Aaargh! • 1 juni 2024 17:28

een adsl modem weet uit de doos alle instellingen?
een kpn glas aansluiting met tv, en de modem/router weet het vlan voor de tv en de voip instellingen voor de telefoon?

een internet verbinding is meer dan een stekker er is steken en gaan als de apparatuur niet vooraf geconfigureerd is.

Epsilon @vinny194 • 31 mei 2024 13:14

Dat het beperkt is gebleven tot 1 provider laat in iedergeval de optie open dat het via "binnen" is gebeurd. Dus inderdaad: de manier waarop providers bij hun routers kunnen komen.

m_snel @Epsilon • 31 mei 2024 15:31

Meestal halen die apparaten gewoon een firmware op. Als je dus een speciale firmware bij de leverancier plaats hoef je verder niks te doen.

MischaBoender @vinny194 • 31 mei 2024 13:18

Het hoeft helemaal niet naar buiten open te hebben gestaan. Extreem voorbeeld, maar Natanz was helemaal air-gapped, en toch hebben "de diensten" het voor elkaar gekregen om Stuxnet naar binnen te krijgen.

BadRespawn @vinny194 • 31 mei 2024 15:29

Dan blijkt er toch meer open te staan naar de buitenwereld dan ik had verwacht.

Als het zomaar open zou staan, dan zou wel duidelijk zijn hoe dit heeft kunnen gebeuren, maar: "het is nog altijd niet duidelijk hoe het de hackers is gelukt om de update op zoveel apparaten te installeren."
Open staan houdt in dat er geen enkele beveiliging is. Dat komt wel eens voor, maar is wat anders dan dat er wel beveiliging is die blijkbaar een kwetsbaarheid heeft die wordt uitgebuit.

lenwar

Beveiliging en antivirus

31 mei 2024 13:25

Met dit soort acties ben ik wel is benieuwd wat nou het doel is. Phishing, botnets creëeren, enz. snap ik nog wel. Daar is geld mee te verdienen. (ik praat het natuurlijk niet goed, maar dat heeft nog een tastbaar doel.)

Dit lijkt puur en alleen als doel te hebben "Omdat het kan/Voor de kick", "Om de ISP te zieken" of "Ik haat het milieu" (alle e-waste die hiermee gecreëerd is.)

zetje01 @lenwar • 31 mei 2024 14:22

Een concurrent-iSP kan hier van profiteren.

gimbal @zetje01 • 31 mei 2024 15:58

Het is niet alsof het allemaal mafia is. Het risico weegt in geen enkele manier op tegen de baten.

downtime @lenwar • 31 mei 2024 13:37

Boze (ex-) werknemer die verantwoordelijk was voor de updates is een simpele verklaring. Het kan gewoon rancune zijn.

TheGhostInc @lenwar • 31 mei 2024 14:15

Het valt me mee dat dit type aanval niet vaker voorkomt. Bijvoorbeeld hoeveel hardeschijf modellen zijn er? Als je een botnet van honderdduizenden computers hebt, dan heb je maar een paar verschillende (corrupte) firmware updates nodig om praktisch alle computers uit te schakelen. Als soort van 'kill switch' op je botnet.

Gelukkig gebeurt het niet of nauwelijks.

gimbal @lenwar • 31 mei 2024 15:57

Some people just want to see the world burn.

Andros 31 mei 2024 13:39

Tevens een goed argument om voor vrije modem keuze te zijn. De meeste mensen gebruiken de modem van de provider maar als je zelf je eigen modem kunt aansluiten en beheren bepaal je ook zelf welke updates je wel en niet doorvoert. Providermodems worden erg veel gebruikt en zijn zowat bij elke klant hetzelfde, de mensen die eigen apparatuur gebruiken kunnen verschillende merken gebruiken die tevens niet benaderbaar zijn vanuit de provider. Hier in de EU wordt dat al toegelaten, iemand een idee hoe het met Amerikaanse providers zit?

rdfeij @Andros • 31 mei 2024 14:00

Anderzijds kunnen providers updates pushen zodat je niet achterloopt (dat was hier waarschijnlijk ook de bedoeling alleen dan met een malafide firmware op een server) terwijl bij een eigen modemkeuze er ook een grote groep zal zijn die een modem ophangt maar verder nooit meer patched.

Voor beide methoden zijn voor en nadelen.

Dreamvoid @rdfeij • 31 mei 2024 14:56

Je zou een expertise test moeten doen, bv "weet je hoe je handmatig een /64 routeert?" of "zet een site-to-site VPN op", als je dat weet dan mag je een router beheren.

pejoar @rdfeij • 31 mei 2024 15:37

Zou het ook iets met de kwaliteit te maken kunnen hebben.
Ik weet dat spul van bijvoorbeeld Cisco kwaliteit is

Andros @rdfeij • 31 mei 2024 16:08

Dat is het em net. Bij een vrije modemkeuze heeft de klant de KEUZE om eigen apparatuur te plaatsen. Die keuze komt ook met een stukje eigen verantwoordelijkheid, providers moeten enkel de specificaties delen en geen blokkades opwerpen, verder niets. De mensen die hier niet mee om kunnen gaan zijn nog altijd beter af met apparatuur van de provider maar de klant die het wil kan iets anders plaatsen. Dan zijn we er toch voor beide groepen?

marcieking

@Andros • 31 mei 2024 20:33

Hoeveel procent van de klanten van Europese ISPs schat je in dat een ander modem gebruikt?

Andros @marcieking • 31 mei 2024 23:06

Wat maakt dat uit? Als de keuze er is is het aan de klant om het te gebruiken of niet. Al zou het maar vijf klanten zijn, wat dan nog? Dat is altijd beter dan de dichtgetimmerde starre houding die we voorheen hadden. Keuze impliceert dat het MOGELIJK is om een eigen modem te gebruiken, het hoeft niet he. Ik snap je punt niet

TRAXION 31 mei 2024 13:36

Gezien het 1 partij treft zou ik aan een aantal scenario's kunnen denken.

1, iemand binnen het netwerk heeft iets heel stoms gedaan "hacker wannabee"
2, werknemer die een fout gemaakt heeft of expres deze actie ondernemen heeft.
3, een concurrent die hiervan profiteerde.
4, er een partij er een slaatje uit wou slaan.

Andere soortgelijke modems hiervan beschermen lijkt me in ieder geval prio1 nu om eventueele herhaling te voorkomen.

themadone @TRAXION • 31 mei 2024 14:08

Je vergeet:

5. State actor laat zien wat de mogelijkheden zijn.

scsirob @themadone • 31 mei 2024 15:18

Het laatste wat een state actor ooit zal doen is een publiek wedstrijdje verp*ssen

themadone @scsirob • 31 mei 2024 16:57

Wanna cry was ook een foutje van Noord Korea en de meeste "wereldleiders" zijn verre van stabiel momenteel.

cariolive23 31 mei 2024 15:06

Geschreven in Lua, dat is iets wat je niet vaak tegenkomt. Ooit eens mee in aanraking gekomen op PUC in Rio, maar nooit veel mee gedaan. Geen idee hoeveel het wordt gebruikt buiten Brazilië.

gimbal @cariolive23 • 31 mei 2024 16:02

LUA is een veelgebruikte scripting taal toegepast binnen software, voor plugins en dergelijke; NeoVIM is een goed voorbeeld. Ook binnen games wordt het gebruikt voor modding doeleinden. Niets mis mee, snel en relatief eenvoudig.

cariolive23 @gimbal • 31 mei 2024 17:37

Heb er toen zelf in combinatie met Nginx websites mee geschreven, was leuk om te doen en veel van geleerd. Het is ook ontwikkeld op PUC, dus wanneer je daar dan studeert, heb je weinig te kiezen

Wikipedia: Lua (programming language)

TNAC @cariolive23 • 31 mei 2024 19:15

Ik zie het gebruik de afgelopen jaren toch regelmatig terug bij embedded systemen van kleine Nederlandse fabrikanten tot Amerikaanse multinationals.

Buitenaerts 31 mei 2024 13:09

Zo das een duur geintje geweest, en en hele logistieke operatie.

Anonymoussaurus 31 mei 2024 13:10

Winstream (de provider) wilde niet tegenover persbureau Reuters op de analyse van het securitybedrijf reageren: https://www.reuters.com/t...red-2023-hack-2024-05-30/. Verder hebben gebruikers hier zelf ook melding van gemaakt:

neps 31 mei 2024 13:39

De originele blog van Lumen geeft aan dat de RAT die in de aanval is gebruikt ook niet officieel gemaakt was voor dit type aanval, eerder voor botnets, repurposed om attributie van de aanval te vermijden:

This suggests that while the Chalubo malware was used in this destructive attack, it was not written specifically for destructive actions. We suspect the threat actors behind this event chose a commodity malware family to obfuscate attribution, instead of using a custom-developed toolkit.

Als je het niet doet voor aandacht zijn er waarschijnlijk boze bedoelingen... In elk geval was het veroorzaken van een storing hoogstwaarschijnlijk het doel, maar ik ben eigenlijk eerder nieuwsgierig naar wie en waarom.

herpiederpienow 31 mei 2024 14:27

Aangezien het een gerichte aanval lijkt op die specifieke ISP vraag ik me wel af wat er achter zit. Misschien stiekem een concurrent of een klant die ze in het verleden niet netjes behandeld hebben? In ieder geval héél vervelend voor de klanten, die waarschijnlijk ook de kosten zullen moeten ophoesten tenzij ze de daders weten te pakken wellicht.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (99)

Sorteer op:

Weergave: