De collectie van Miljoenen gehackte computers, bekend als Aisuru en Kimwolf, zijn gebruikt om enkele van de grootste te lanceren gedistribueerde denial-of-service (DDoS)-aanvallen ooit gezien. Nu hebben de wetshandhavingsinstanties van de Verenigde Staten ze allebei van het internet verwijderd, samen met twee van de andere hordes gekaapte computers – bekend als botnets – in één enkele brede verwijdering.
Donderdag maakte het Amerikaanse ministerie van Justitie, in samenwerking met het cybercriminaliteitsbestrijdingsagentschap binnen het Amerikaanse ministerie van Defensie, bekend als de Defense Criminal Investigative Service, bekend dat het in één operatie vier enorme botnets had ontmanteld, waarbij de command-and-control-servers waren verwijderd die werden gebruikt om de door hackers beheerde legers van gecompromitteerde apparaten, bekend onder de namen JackSkid, Mossad, Aisuru en Kimwolf, te besturen. Samen hadden de exploitanten van de vier botnets meer dan 3 miljoen apparaten verzameld, aldus het ministerie van Justitie, en vaak de toegang tot die apparaten verkocht aan andere criminele hackers, en deze ook gebruikt om slachtoffers te targeten met een overweldigende stroom aanvalsverkeer om websites en internetdiensten offline te halen.
Aisuru en Kimwolf, een apart maar Aisuru-gerelateerd botnet, bestonden samen uit meer dan een miljoen apparaten. Dat meldt DDoS-verdedigingsbedrijf Cloudflarewaarbij Aisuru een verscheidenheid aan apparaten infecteert, variërend van DVR’s tot netwerkapparaten tot webcams, en de Kimwolf-uitloper die Android-apparaten infecteert, waaronder smart-tv’s en settopboxen. Cloudflare zegt dat de twee botnets, die samenwerken, afgelopen november een cyberaanval hebben uitgevoerd tegen een Cloudflare-klant, waarbij meer dan 30 terabit aan data per seconde werd bereikt, bijna drie keer zo groot als de vorige grootste dergelijke aanval.
Er werden onmiddellijk geen arrestaties aangekondigd naast de verwijderingen, maar in een verklaring van het ministerie van Justitie werd opgemerkt dat de Amerikaanse regering samenwerkte met de Canadese en Duitse autoriteiten, “die zich richtten op personen die deze botnets exploiteerden.”
“De Verenigde Staten zijn standvastig in onze inzet om kritieke internetinfrastructuur te beschermen en de cybercriminelen te bestrijden die de veiligheid ervan in gevaar brengen, waar ze ook wonen”, schreef de Amerikaanse advocaat Michael J. Heyman in een verklaring.
Van de vier botnets die bij de operatie werden uitgeschakeld, had Aisuru de meeste bekendheid verworven, dankzij een reeks recordbrekende of bijna record-cyberaanvallen die het afgelopen najaar uitvoerde. Het botnet, waarvan het gebruik werd verhuurd zoals veel van dergelijke ‘booter’-diensten die hun brute-force ontwrichtende mogelijkheden bieden aan iedereen die bereid is te betalen, heeft zich het meest zichtbaar gekant tegen gamingdiensten zoals Minecraft en onafhankelijke cyberbeveiligingsjournalist Brian Krebs. Krebs, die uitgebreid onderzoek heeft gedaan naar de ondergrondse botnet en Aisuru in het bijzonder, werd herhaaldelijk aangevallen van het botnet vorig jaar.
Vervolgens absorbeerde Cloudflare in november een recordbrekende gecombineerde aanval van Aisuru en Kimwolf die slechts 35 seconden duurde maar 31,4 terabit per seconde bereikte, een volume aan aanvalsverkeer dat bijna drie keer zo groot was als eerder gezien. (Het bedrijf heeft niet onthuld welke van zijn klanten door die aanval zijn getroffen.)
In een rapport Over de toestand van het DDoS-ecosysteem beschreef Cloudflare het maximale aanvalsverkeer van de gecombineerde Aisuru- en Kimwolf-botnets als gelijkwaardig aan “de gecombineerde populaties van Groot-Brittannië, Duitsland en Spanje die allemaal tegelijkertijd een websiteadres typen en vervolgens op dezelfde seconde op ‘enter’ drukken.” Het botnet was in staat, zo schreven de analisten van Cloudflare, om “DDoS-aanvallen te lanceren die kritieke infrastructuur kunnen verlammen, de meeste oudere cloudgebaseerde DDoS-beschermingsoplossingen kunnen laten crashen en zelfs de connectiviteit van hele landen kunnen verstoren.”
In feite waren alle vier de door de Amerikaanse operatie ontwrichte botnets varianten van Miraieen internet-of-things-botnet dat voor het eerst verscheen in 2016, brak destijds records voor de omvang van de cyberaanvallen die het mogelijk maakte, en werd uiteindelijk gebruikt bij een aanval op de domeinnaamserviceprovider Dyn, waarbij 175.000 websites tegelijkertijd werden platgelegd voor een groot deel van de Verenigde Staten. De codebasis van Mirai heeft sindsdien als startpunt gediend voor tien jaar andere internet-of-things-botnets.
