www.belgium.be Logo of the federal government

Mirai

Document
Infectie

Mirai is een op Linux gebaseerde malware, die gericht is op apparaten die verbonden zijn met internet (of 'Internet of Things', ook wel 'IoT-apparaten' genoemd), zoals thuisrouter, IP-camera, videorecorder etc. De aanval werd gelanceerd door geïnfecteerde kwetsbare IoT-apparaten, zoals routers en IP-camera's met Mirai-malware die een botnet vormden. Deze apparaten zijn kwetsbaar omdat veel ervan niet gepatcht zijn en slechts voorzien zijn van zwakke toegangsgegevens, d.w.z. veel van deze apparaten gebruiken een bekende standaardgebruikersnaam en ‑wachtwoord.

Contacteer een ICT-expert als je hulp nodig hebt bij het uitvoeren van deze handelingen. 

Hoe herstellen?

Mirai-malware is alleen “memory-resident” (volatiel). Je kan de Mirai-malware verwijderen door het geïnfecteerde apparaat  eenvoudigweg te rebooten. Het apparaat kan echter wel worden gescand en opnieuw worden geïnfecteerd via het netwerk. Daarom wordt de volgende effectieve aanpak voorgesteld:

  1. Als je vermoedt dat je apparaat geïnfecteerd is, koppel het dan onmiddellijk los van het netwerk en schakel het een tijdje uit.
  2. Controleer of je thuisrouter of firewall TCP-poort 23 van het apparaat naar het internet opent. Als dat zo is, sluit deze poort dan.
  3. Start het geïnfecteerde apparaat opnieuw op.
  4. Zet het geïnfecteerde apparaat terug naar de fabrieksinstellingen (fabrieksreset).
  5. Wijzig het standaardwachtwoord van de apparaten (via de admin-gebruikersinterface) in een sterk wachtwoord.
  6. Hou de Telnet-dienst en TCP-poort 23 van het apparaat gesloten. Als toegang vanaf het internet tot het apparaat vereist is, gebruik dan SSH of andere VPN-diensten en pas een sterk wachtwoord en authenticatie toe.

Opmerking: raadpleeg de handleiding van het apparaat of contacteer indien nodig de fabrikant van het apparaat.

Hoe te voorkomen?

  1. Onderzoekers hebben ontdekt dat de aanvallers de apparaten via de Telnet-dienst (TCP-poort 23) hebben gecompromitteerd om ze met Mirai-malware te besmetten. Sluit vanuit je thuisrouter of firewall de genoemde service en de bijbehorende poort als je deze niet nodig hebt.
    Je kunt controleren of de genoemde service openstaat via de volgende webpagina:
    https://www.yougetsignal.com/tools/open-ports/
  2. Als je je apparaat niet rechtstreeks met het internet dient te verbinden, plaats het dan binnen een beveiligd intern netwerk of gebruik SSH of andere VPN-diensten.
  3. Als je van plan bent een nieuw apparaat aan te schaffen, zorg er dan voor dat de firmware van het apparaat kan worden gepatcht. Controleer bij de fabrikant zijn praktijken en de geschiedenis van het patchen van de productfirmware.

Bron: https://www.hkcert.org/my_url/en/guideline/17012401