Něco málo po roce po nasazení, aby zmařilo mocné exploity NSA které unikly online, Stovky tisíc počítačů zůstávají neopravené a zranitelné.
Nejprve byly použity k šíření ransomwaru, poté přišly útoky na těžbu kryptoměny.
Nyní, Vědci říkají, že hackeři (nebo crackery) používají nástroje pro filtrování k vytvoření ještě větší škodlivé sítě proxy. Hackeři proto k únosu počítačů používají nástroje NSA.
Nedávné objevy
Nové objevy bezpečnostní firmy „Akamai“ říkají, že chyba zabezpečení UPnProxy zneužívá běžný univerzální síťový protokol Plug and Play.
A že nyní můžete cílit na neopravené počítače za firewallem routeru.
Útočníci tradičně používají UPnProxy k opětovnému přiřazení nastavení předávání portů na postiženém routeru.
Umožnili tak zmatek a škodlivé směrování provozu. Lze jej tedy použít k zahájení útoků typu odmítnutí služby nebo k šíření malwaru nebo spamu.
Ve většině případů nejsou počítače v síti ovlivněny, protože byly chráněny pravidly překladu síťových adres (NAT).
Ale teď Akamai říká, že útočníci využívají výkonnější exploity k proražení routeru a infikování jednotlivých počítačů v síti.
To dává útočníkům mnohem větší počet zařízení, která lze dosáhnout. Díky tomu je škodlivá síť mnohem silnější.
„I když je nešťastné vidět útočníky využívat UPnProxy a aktivně je využívat k útoku na systémy, které byly dříve chráněny za NAT, nakonec k tomu dojde,“ uvedl Chad Seaman z Akamai, který napsal zprávu.
Útočníci využívají dva typy injekčních útoků:
Z nichž první je Eternal Blue, jedná se o zadní vrátka vyvinutá Národní bezpečnostní agenturou útočit na počítače s nainstalovaným systémem Windows.
Zatímco v případě uživatelů systému Linux existuje exploit nazvaný EternalRed, ve kterém útočníci přistupují nezávisle prostřednictvím protokolu Samba.
O společnosti EternalRed
Je důležité vědět, že lSamba verze 3.5.0 byla zranitelná touto chybou vzdáleného spuštění kódu, což umožnilo škodlivému klientovi nahrát sdílenou knihovnu do sdílitelné složky, a poté nechte server načíst a spustit jej.
Útočník má přístup k počítači se systémem Linux a povýšit oprávnění pomocí místní chyby zabezpečení, abyste získali přístup root a nainstalovali možný budoucí ransomwarenebo podobně jako tato softwarová replika WannaCry pro Linux.
Zatímco UPnProxy upravuje mapování portů na zranitelném routeru. Rodina věčných adresuje servisní porty používané SMB, což je běžný síťový protokol používaný většinou počítačů.
Akamai společně nazývá nový útok „EternalSilence“, který dramaticky rozšiřuje šíření sítě proxy pro mnoho zranitelnějších zařízení.
Tisíce infikovaných počítačů
Akamai říká, že více než 45.000 XNUMX zařízení je již pod kontrolou obrovské sítě. Toto číslo může potenciálně dosáhnout více než milion počítačů.
Cílem zde není cílený útok ", ale" Je to pokus o využití osvědčených exploitů, spuštění velké sítě na relativně malém prostoru, v naději, že získá několik dříve nepřístupných zařízení.
Věčné pokyny se bohužel obtížně dají zjistit, což administrátorům ztěžuje zjištění, zda jsou infikovány.
To bylo řečeno, opravy pro EternalRed a EternalBlue a byly vydány před více než rokem, ale miliony zařízení zůstávají neopravené a zranitelné.
Počet zranitelných zařízení klesá. Seaman však uvedl, že nové funkce UPnProxy „mohou být snahou o poslední pokus o použití známých exploitů proti sadě možná neopravených a dříve nepřístupných strojů.“