Nešto više od godinu dana nakon raspoređivanja kako bi se osujetili snažni podvizi NSA-e koja je procurila na mreži, Stotine hiljada računara ostaju neispravljeni i ranjivi.
Prvo su korišteni za širenje ransomwarea, a zatim su uslijedili napadi na rudarenje kripto valuta.
Sada, Istraživači kažu da hakeri (ili krekeri) koriste alate za filtriranje da bi stvorili još veću zlonamjernu proxy mrežu. Stoga hakeri koriste NSA alate za otmicu računara.
Nedavna otkrića
Nova otkrića sigurnosne firme "Akamai" kažu da ranjivost UPnProxy zloupotrebljava uobičajeni univerzalni mrežni protokol Plug and Play.
I da sada možete ciljati neispravljene računare iza zaštitnog zida rutera.
Napadači tradicionalno koriste UPnProxy za ponovno dodjeljivanje postavki prosljeđivanja porta na pogođenom usmjerivaču.
Stoga su dopustili zamagljivanje i zlonamjerno usmjeravanje prometa. Stoga se ovo može koristiti za pokretanje napada uskraćivanja usluge ili širenje zlonamjernog softvera ili neželjene pošte.
U većini slučajeva to ne utječe na računare na mreži jer su zaštićeni pravilima prevođenja mrežnih adresa usmjerivača (NAT).
Ali sada, Akamai kaže da napadači koriste snažnije eksploatacije da bi prošli kroz usmjerivač i zarazili pojedinačne računare na mreži.
To osvajačima daje mnogo veći broj uređaja do kojih se može doći. Takođe, čini zlonamjernu mrežu mnogo jačom.
"Iako je žalosno vidjeti napadače kako koriste UPnProxy i aktivno ga koriste za napad na sisteme koji su prethodno bili zaštićeni iza NAT-a, to će se na kraju dogoditi", rekao je Chad Seaman iz Akamai-a, koji je napisao izvještaj.
Napadači koriste dvije vrste injekcijskih eksploatacija:
Od kojih je prva EternalBlue, ovo su stražnja vrata koja je razvila Agencija za nacionalnu sigurnost za napad na računare sa instaliranim Windowsom.
Dok u slučaju korisnika Linuxa postoji exploit tzv EternalRed, u kojem napadači pristupaju neovisno putem protokola Samba.
O EternalRedu
Važno je znati da lSamba verzija 3.5.0 bila je ranjiva na ovu pogrešku u izvršavanju daljinskog koda, omogućavajući zlonamernom klijentu da prenese zajedničku biblioteku na zapisljiv udio, a zatim neka se server učita i pokrene.
Napadač može pristupiti Linux mašini i podižite privilegije koristeći lokalnu ranjivost da biste stekli root pristup i instalirali mogući budući ransomwareili, slično ovoj replici WannaCry softvera za Linux.
Dok UPnProxy modificira mapiranje porta na ranjivom usmjerivaču. Vječna porodica obraća se servisnim priključcima koje koristi SMB, uobičajeni mrežni protokol koji koristi većina računara.
Zajedno, Akamai novi napad naziva "EternalSilence" dramatično proširujući širenje proxy mreže za mnoge ranjivije uređaje.
Hiljade zaraženih računara
Akamai kaže da je više od 45.000 uređaja već pod kontrolom ogromne mreže. Potencijalno, ovaj broj može doseći više od milion računara.
Cilj ovdje nije ciljani napad "već" To je pokušaj iskorištavanja dokazanih eksploatacija, pokretanje velike mreže na relativno malom prostoru, u nadi da će pokupiti nekoliko prethodno nepristupačnih uređaja.
Nažalost, vječne upute je teško otkriti, što administratorima otežava da znaju jesu li zaražene.
Međutim, popravci za EternalRed i EternalBlue objavljeni su prije nešto više od godinu dana, ali milioni uređaja ostaju neotkriveni i ranjivi.
Broj ranjivih uređaja se smanjuje. Međutim, Seaman je rekao da će nove UPnProxy funkcije "možda biti posljednji pokušaj korištenja poznatih eksploatacija protiv niza možda neispravljenih i ranije nepristupačnih mašina".