Малко повече от година след разполагането на, за да осуети мощните подвизи на НСА което изтече онлайн, Стотици хиляди компютри остават некоригирани и уязвими.
Първо, те бяха използвани за разпространение на рансъмуер, след това дойдоха атаки за копаене на криптовалута.
сега, Изследователите казват, че хакери (или бисквити) използват инструменти за филтриране, за да създадат още по-голяма злонамерена прокси мрежа. Следователно хакерите използват инструменти на NSA за отвличане на компютри.
Последни открития
Нови открития на охранителна фирма "Akamai" казват, че уязвимостта UPnProxy злоупотребява с общия универсален мрежов протокол Plug and Play.
И че вече можете да се насочвате към неизправените компютри зад защитната стена на рутера.
Атакуващите традиционно използват UPnProxy, за да преназначат настройките за пренасочване на портове на засегнатия рутер.
По този начин те позволиха замъгляване и злонамерено маршрутизиране на трафика. Следователно това може да се използва за стартиране на атаки за отказ на услуга или за разпространение на злонамерен софтуер или спам.
В повечето случаи компютрите в мрежата не са засегнати, защото са защитени от правилата на мрежовия адрес за транслация на рутера (NAT).
Перо ахора, Akamai казва, че нашествениците използват по-мощни експлойти, за да преминат през рутера и да заразят отделни компютри в мрежата.
Това дава на нашествениците много по-голям брой устройства, до които може да се стигне. Освен това прави зловредната мрежа много по-силна.
„Макар да е жалко да виждаме нападателите да използват UPnProxy и активно да се възползват от него, за да атакуват системи, които преди това са били защитени зад NAT, в крайна сметка това ще се случи“, каза Чад Сийман от Akamai, който написа доклада.
Нападателите използват два вида инжекционни подвизи:
От които първият е EternalBlue, това е задна врата, разработена от Агенцията за национална сигурност да атакува компютри с инсталиран Windows.
Докато в случая на потребители на Linux има експлойт, наречен EternalRed, в който нападателите осъществяват независим достъп чрез протокола Samba.
Относно EternalRed
Важно е да знаете, че lSamba версия 3.5.0 беше уязвима към този недостатък при изпълнение на отдалечен код, позволявайки на злонамерен клиент да качи споделена библиотека в записващ дял, и след това натоварете сървъра и го стартирайте.
Атакуващият има достъп до Linux машина и издигнете привилегии, използвайки локална уязвимост, за да получите root достъп и да инсталирате възможен бъдещ рансъмуерили подобно на това копие на софтуера WannaCry за Linux.
Докато UPnProxy модифицира картографирането на портове на уязвим рутер. Вечното семейство се обръща към портовете за услуги, използвани от SMB, общ мрежов протокол, използван от повечето компютри.
Заедно Akamai нарича новата атака "EternalSilence", драстично разширявайки разпространението на прокси мрежата за много по-уязвими устройства.
Хиляди заразени компютри
Akamai казва, че над 45.000 XNUMX устройства вече са под контрола на огромната мрежа. Потенциално този брой може да достигне до повече от един милион компютри.
Целта тук не е целенасочена атака ", но" Това е опит да се възползвате от доказани експлойти, стартиране на голяма мрежа на относително малко пространство, с надеждата да вземете няколко недостъпни преди това устройства.
За съжаление вечните инструкции са трудни за откриване, което затруднява администраторите да разберат дали са заразени.
Въпреки това, корекциите за EternalRed и EternalBlue бяха пуснати преди малко повече от година, но милиони устройства остават неизправени и уязвими.
Броят на уязвимите устройства намалява. Seaman обаче заяви, че новите функции на UPnProxy "може да са последен опит за използване на известни експлойти срещу набор от евентуално некоригирани и недостъпни преди това машини"