بعد أكثر من عام بقليل من نشر القوات لإحباط المآثر القوية لوكالة الأمن القومي التي تسربت عبر الإنترنت ، لا تزال مئات الآلاف من أجهزة الكمبيوتر غير مصححة وعرضة للخطر.
أولاً ، تم استخدامها لنشر برامج الفدية ، ثم جاءت هجمات تعدين العملات المشفرة.
الآن يقول الباحثون إن المتسللين (أو المفرقعات) يستخدمون أدوات التصفية لإنشاء شبكة بروكسي ضارة أكبر. لذلك ، يستخدم المتسللون أدوات وكالة الأمن القومي لاختطاف أجهزة الكمبيوتر.
الاكتشافات الحديثة
تشير الاكتشافات الجديدة لشركة الأمان "Akamai" إلى أن الثغرة الأمنية UPnProxy تسيء استخدام بروتوكول الشبكة العالمية "التوصيل والتشغيل".
وأنه يمكنك الآن استهداف أجهزة الكمبيوتر غير المصححة خلف جدار حماية جهاز التوجيه.
يستخدم المهاجمون عادةً UPnProxy لإعادة تعيين إعدادات إعادة توجيه المنفذ على جهاز توجيه متأثر.
وبالتالي ، فقد سمحوا بالتشويش وتوجيه المرور الضار. لذلك ، يمكن استخدام هذا لشن هجمات رفض الخدمة أو نشر البرامج الضارة أو البريد العشوائي.
في معظم الحالات ، لا تتأثر أجهزة الكمبيوتر على الشبكة لأنها محمية بقواعد ترجمة عنوان الشبكة (NAT) الخاصة بالموجه.
لكن الآن، يقول أكاماي إن الغزاة يستخدمون مآثر أكثر قوة للدخول عبر جهاز التوجيه وإصابة أجهزة الكمبيوتر الفردية على الشبكة.
هذا يمنح الغزاة عددًا أكبر من الأجهزة التي يمكن الوصول إليها. كما أنه يجعل الشبكة الخبيثة أقوى بكثير.
قال تشاد سيمان من أكاماي ، الذي كتب التقرير: "في حين أنه من المؤسف أن نرى المهاجمين يستخدمون UPnProxy ويستغلونها بنشاط لمهاجمة الأنظمة التي كانت محمية سابقًا خلف NAT ، إلا أن ذلك سيحدث في النهاية".
يستفيد المهاجمون من نوعين من عمليات استغلال الحقن:
منها الأول EternalBlue، هذا باب خلفي طورته وكالة الأمن القومي لمهاجمة أجهزة الكمبيوتر المثبت عليها Windows.
بينما في حالة مستخدمي Linux ، هناك استغلال يسمى EternalRed ، حيث يصل المهاجمون بشكل مستقل من خلال بروتوكول Samba.
حول EternalRed
من المهم أن تعرف أن lكان الإصدار 3.5.0 من Samba عرضة لعيب تنفيذ التعليمات البرمجية عن بُعد ، مما يسمح للعميل الضار بتحميل مكتبة مشتركة إلى مشاركة قابلة للكتابة ، ثم قم بتحميل الخادم وتشغيله.
يمكن للمهاجم الوصول إلى جهاز Linux وملفات رفع الامتيازات باستخدام ثغرة أمنية محلية للوصول إلى الجذر وتثبيت برنامج فدية مستقبلي محتملأو ، على غرار نسخة برنامج WannaCry المتماثلة لنظام التشغيل Linux.
في حين أن UPnProxy يعدل تعيين المنفذ على جهاز توجيه ضعيف. تتعامل العائلة الدائمة مع منافذ الخدمة التي يستخدمها SMB ، وهو بروتوكول شبكة شائع تستخدمه معظم أجهزة الكمبيوتر.
معًا ، يطلق Akamai على الهجوم الجديد اسم "EternalSilence" مما يوسع بشكل كبير انتشار شبكة الوكيل للعديد من الأجهزة المعرضة للخطر.
الآلاف من أجهزة الكمبيوتر المصابة
يقول Akamai إن أكثر من 45.000 جهاز تخضع بالفعل لسيطرة الشبكة الضخمة. من المحتمل أن يصل هذا الرقم إلى أكثر من مليون جهاز كمبيوتر.
الهدف هنا ليس هجومًا مستهدفًا "ولكن" محاولة للاستفادة من الثغرات التي أثبتت جدواها ، وإطلاق شبكة كبيرة في مساحة صغيرة نسبيًا ، على أمل التقاط العديد من الأجهزة التي تعذر الوصول إليها سابقًا.
لسوء الحظ ، يصعب اكتشاف الإرشادات الأبدية ، مما يجعل من الصعب على المسؤولين معرفة ما إذا كانوا مصابين.
ومع ذلك ، فقد تم إصدار إصلاحات EternalRed و EternalBlue منذ أكثر من عام بقليل ، لكن ملايين الأجهزة لا تزال غير مصححة وهشاشة.
عدد الأجهزة الضعيفة آخذ في التناقص. ومع ذلك ، قال سيمان إن ميزات UPnProxy الجديدة "قد تكون محاولة أخيرة لاستخدام الثغرات المعروفة ضد مجموعة من الأجهزة التي ربما لم يتم تصحيحها والتي يتعذر الوصول إليها سابقًا."