EwDoor-botnet

Een nieuwe botnet-bedreiging genaamd EwDoor Botnet heeft onbeschermde AT&T-randapparatuur voor bedrijfsnetwerken besmet. De dreiging maakt gebruik van een vier jaar oude kritieke kwetsbaarheid die wordt bijgehouden als CVE-2017-6079. De exploit stelt aanvallers in staat om onbelemmerde root-toegang te krijgen tot de beoogde apparatenvan een afstand.

Het specifieke model dat in de recente campagne is aangevallen, is EdgeMarc Enterprise Session Border Controller. Dergelijke apparaten worden vaak gebruikt door kmo's (kleine en middelgrote ondernemingen) om verschillende taken te beveiligen en af te handelen, zoals telefoongesprekken, videoconferenties of andere realtime communicatiekanalen. Omdat ze fungeren als een brug tussen de organisaties en hun ISP's, zijn deze sessiegrenscontrollers het belangrijkste doelwit voor dreigingsactoren die DDoS-aanvallen (Distributed Denial-of-Service) willen lanceren en gevoelige informatie willen verzamelen.

Duizenden gecompromitteerde apparaten

De onderzoekers van Qihoo 360's Network Security Research Lab ontdekten voor het eerst de EwDoor Botnet-dreiging. Ze konden ook een van de Command-and-Control-servers (C2, C&C) van de dreigingsactoren identificeren. In slechts drie uur konden de onderzoekers ongeveer 5.700 geïnfecteerde apparaten identificeren. Daarna schakelden de hackers over op andere C2-communicatie. Door de SSI-certificaten van de apparaten te controleren, ontdekte 360 Netlab dat ongeveer 100.000 IP-adressen hetzelfde SSI-certificaat gebruikten.

Dreigende mogelijkheden

Analyse van de functionaliteit van de dreiging laat zien dat deze voornamelijk gericht is op het lanceren van DDoS-aanvallen en het opzetten van een achterdeur die verbinding maakt met het netwerk van het slachtoffer. De huidige EwDoor Botnet-versies zijn uitgerust met zes hoofdfuncties. Het kan zichzelf updaten, scannen naar poorten, het bestandssysteem manipuleren, DDoS-aanvallen uitvoeren, reverse shells starten en de aanvallers toestaan willekeurige opdrachten uit te voeren op de gehackte servers.

AT&T heeft verklaard op de hoogte te zijn van het probleem en maatregelen te hebben genomen om de impact ervan te beperken. Tot nu toe heeft het bedrijf geen bewijs gevonden dat de gegevens van zijn klanten zijn gecompromitteerd.