Een Italiaanse onderzoeker waarschuwt voor een botnet dat uit duizenden gehackte routers bestaat en WordPress-sites aanvalt. Het botnet voert bruteforce-aanvallen op het inloggedeelte van de websites uit. Er wordt geprobeerd om met de gebruikersnaam admin en verschillende wachtwoorden in te loggen.
Nu zijn er meer botnets die WordPress-sites aanvallen, alleen dit botnet viel op. Alle gebruikte IP-adressen waren namelijk van dezelfde IP-reeksen afkomstig. Het bleek om voornamelijk Italiaanse internetproviders te gaan. Verder onderzoek wees uit dat de aanvallen van gehackte Aethra-routers afkomstig waren.
De apparaten bleken standaard inloggegevens te gebruiken, namelijk een lege gebruikersnaam en een leeg wachtwoord. Via de zoekmachine Shodan kon uiteindelijk de omvang van het botnet in kaart worden gebracht. Het gaat om zo'n 12.000 apparaten.
De aanvallen werden in februari van dit jaar waargenomen. De onderzoeker van het Italiaanse VoidSec waarschuwde daarop de verschillende providers. BT Italia gaf echter geen reactie en de apparaten van de provider zijn nog steeds kwetsbaar. De Italiaanse provider Fastweb kwam wel in actie en rolde deze maand een update uit. Inmiddels elf maanden later heeft de onderzoeker besloten details over het botnet vrij te geven, mede omdat de intensiteit van de aanvallen is afgenomen.
Bron: Security.nl