The White Team hackt ruim 10.000 routers om deze beter te beveiligen
Een groep hackers verspreidt malware die inbreekt op routers en vervolgens de beveiliging van de apparaten verbeterd. De opvallende actie is opgeëist door een hackersgroep die zichzelf ‘The White Team’ noemt.
De malware is ontdekt door Symantec, die werd getipt door een onafhankelijke onderzoeker. Deze had de malware op zijn eigen router aangetroffen nadat hij een proces niet kon thuisbrengen. Symantec trof de malware vervolgens zelf ook aan in honeypots en heeft de malware ‘Linux.Wifatch’ genoemd.
Routers beter beveiligen
De malware probeert in te loggen via de telnet poort, waarvan wachtwoorden vaak niet worden gewijzigd. Dit doet de malware dan ook door te proberen met standaard wachtwoorden van routers in te loggen. Eenmaal binnen sluit de malware de telnet daemon af om toegang via deze route voortaan onmogelijk te maken. Ook probeert de malware de router op te schonen van eventuele aanwezige malware, waaronder bitcoin miners. Vervolgens vraagt de malware de beheerder zijn of haar wachtwoord te wijzigen en de firmware van de router te updaten. De malware zou inmiddels op zeker 10.000 routers actief zijn.
De makers van de malware laten in de broncode van de malware berichten achter voor eventuele lezers. Hierin roepen zij onder andere NSA en FBI agenten die de boodschap lezen op te overwegen de Amerikaanse grondwet te verdedigen door het voorbeeld van Edward Snowden te volgen.
The White Team
De actie is inmiddels in een anonieme reactie op de blogpost van Symantec opgeëist door een hackersgroep die zichzelf ‘The White Team’ noemt. Symantec neemt de reactie serieus genoeg om deze toe te voegen aan zijn blogpost. De groep stelt geen kwade intenties te hebben en geeft aan de malware te hebben gebouwd om te leren, voor de lol en om de veiligheid van gebruikers te verbeteren. De hackers hebben de broncode van de malware beschikbaar gesteld via Gitlab.
Wie de hackers precies zijn is niet duidelijk; de groep stelt dat hun identiteit niet van belang is. Ondanks de goede bedoelingen van de hackersgroep is de actie overigens niet legaal. Zij dringen immers ongevraagd en zonder toestemming routers van derde binnen om hier vervolgens wijzigingen aan te brengen. Ook maken zij gehackte routers onderdeel van een peer-to-peer netwerk, waarna bandbreedte van de routers wordt gebruikt om patches naar andere gehackte routers te verspreiden.
Onethisch
De hackers geven zelf ook toe niet volledig ethisch te werk te gaan. De hackers stellen echter dat onder andere de bandbreedte die zij gebruikers besparen door illegale bitcoin miners te verwijderen, technische problemen die zij voorkomen doordat apparaten niet langer oververhit raken en de diefstal van data en geld die zij tegengaan de bandbreedte die zij gebruiken zou moeten compenseren.
Meer over
Lees ook
WatchGuard waarschuwt voor nieuwe FormBook-phishingaanvallen die beveiliging slimmer omzeilen
WatchGuard Technologies waarschuwt voor nieuwe phishingcampagnes die de bekende FormBook-malware verspreiden. Het risico zit volgens het bedrijf niet alleen in de malware zelf, maar ook in de manier waarop aanvallers te werk gaan. Ze gebruiken legitieme software en slimme versleuteling om beveiliging te ontwijken.
Een kijkje in het draaiboek van een vrachtdief na de inbraak
Onderzoekers van Proofpoint voerden eind februari 2026 een kwaadaardige payload van een dreigingsactor uit binnen een gecontroleerde lokomgeving. Deze werd beheerd door Deception.pro, een partner van het cybersecuritybedrijf. De payload had het gemunt op transportbedrijven.
TrustConnect: een RAT in vermomming
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten naar aanleiding van hun onderzoek naar TrustConnect. Door de grote hoeveelheid bestaande tools voor remote access management waaruit cybercriminelen kunnen kiezen en de prevalentie in het dreigingslandschap, had TrustConnect veel weg van een legitieme RMM-tool.