Er waren al een tijdje signalen dat er iets mis was, omdat studenten klaagden over een traag netwerk. Maar de eerstelijns IT'ers pakten dat niet op, totdat het issue werd ge√ęscaleerd naar het IT-beveiligingsteam. Daar merkte een onderzoeker op dat veel dezelfde domeinen werden bezocht en dat de DNS-servers het zwaar te verduren kregen.

IoT-botnet

Het issue kwam bij provider Verizon terecht, die er nu over schrijft in een voorproefje van een later te verschijnen securityrapport (PDF). Verizon ontdekte dat al die belasting kwam van de digitale infrastructuur van de universiteit: frisdrankautomaten, slimme verlichting en meer waren gekoppeld in een IoT-netwerk en vuurden honderden DNS-requests per minuut per apparaat af.

De aanvallers hadden zo'n 5000 apparaten overgenomen door zwakke en standaardwachtwoorden te 'kraken', waardoor de IT'ers niet meer bij de beheerconsoles konden.

Rollen omgedraaid

Gelukkig communiceerde de malware onversleuteld en de IT'ers konden een packetsniffer inzetten om de nieuwe wachtwoorden uit de verzonden pakketjes te halen. Die wachtwoorden werden verzameld en een ontwikkelaar schreef een scriptje om alle apparaten tegelijkertijd terug te pakken en de wachtwoorden te wijzigen.