एनएसए के शक्तिशाली कारनामों को विफल करने के लिए तैनाती के एक साल बाद थोड़ा सा यह ऑनलाइन लीक हो गया, हजारों-हजारों कंप्यूटर बिना सोचे-समझे और कमजोर बने रहते हैं।
पहले, उन्हें रैंसमवेयर फैलाने के लिए इस्तेमाल किया गया था, फिर क्रिप्टोक्यूरेंसी खनन हमले आए।
अब शोधकर्ताओं का कहना है कि हैकर्स (या क्रैकर्स) फ़िल्टरिंग टूल का उपयोग कर रहे हैं ताकि एक बड़ा दुर्भावनापूर्ण प्रॉक्सी नेटवर्क भी बनाया जा सके। इसलिए हैकर्स कंप्यूटरों को हाईजैक करने के लिए NSA टूल्स का इस्तेमाल करते हैं।
हाल की खोजें
एक सुरक्षा फर्म "अकमाई" द्वारा नई खोजों का कहना है कि UPnProxy भेद्यता सामान्य प्लग और प्ले यूनिवर्सल नेटवर्क प्रोटोकॉल का दुरुपयोग करती है।
और अब आप राउटर के फ़ायरवॉल के पीछे अप्रकाशित कंप्यूटरों को लक्षित कर सकते हैं।
हमलावर पारंपरिक रूप से UPnProxy का उपयोग एक प्रभावित राउटर पर पोर्ट अग्रेषण सेटिंग्स को पुन: असाइन करने के लिए करते हैं।
इस प्रकार, उन्होंने अतिक्रमण और दुर्भावनापूर्ण ट्रैफ़िक रूटिंग की अनुमति दी। इसलिए, इसका उपयोग सेवा हमलों से इनकार करने या मैलवेयर या स्पैम फैलाने के लिए किया जा सकता है।
ज्यादातर मामलों में, नेटवर्क पर कंप्यूटर प्रभावित नहीं होते हैं क्योंकि वे राउटर के नेटवर्क एड्रेस ट्रांसलेशन (NAT) नियमों द्वारा संरक्षित थे।
लेकिन अब, अकामाई का कहना है कि आक्रमणकारी राउटर के माध्यम से प्राप्त करने के लिए अधिक शक्तिशाली कारनामों का उपयोग करते हैं और नेटवर्क पर व्यक्तिगत कंप्यूटरों को संक्रमित करते हैं।
इससे आक्रमणकारियों को बहुत अधिक संख्या में उपकरण मिलते हैं, जिन तक पहुंचा जा सकता है। साथ ही, यह दुर्भावनापूर्ण नेटवर्क को अधिक मजबूत बनाता है।
रिपोर्ट लिखने वाले अकामाई के चाड सीमैन ने कहा, "हालांकि हमलावरों को UPnProxy का इस्तेमाल करते हुए देखना और इसका फायदा उठाना उन प्रणालियों पर हमला करने के लिए है, जो अंततः NAT के पीछे सुरक्षित थीं।"
हमलावर दो तरह के इंजेक्शन के कारनामे करते हैं:
जिनमें से पहला है EternalBlue, यह राष्ट्रीय सुरक्षा एजेंसी द्वारा विकसित एक पिछला दरवाजा है विंडोज स्थापित के साथ कंप्यूटर पर हमला करने के लिए।
जबकि लिनक्स उपयोगकर्ताओं के मामले में एक शोषण कहा जाता है अनन्तरेड, जिसमें हमलावर सांबा प्रोटोकॉल के माध्यम से स्वतंत्र रूप से पहुंचते हैं।
इटरनलरेड के बारे में
यह जानना महत्वपूर्ण है कि एलसांबा संस्करण 3.5.0 इस रिमोट कोड निष्पादन दोष के कारण असुरक्षित था, जिससे एक दुर्भावनापूर्ण क्लाइंट को साझा लाइब्रेरी को एक योग्य शेयर पर अपलोड करने की अनुमति मिली, और फिर सर्वर लोड और इसे चलाएं।
एक हमलावर एक लिनक्स मशीन का उपयोग कर सकता है और रूट पहुंच हासिल करने और संभावित फ्यूचर्स रैंसमवेयर स्थापित करने के लिए स्थानीय भेद्यता का उपयोग करके विशेषाधिकार बढ़ाएंया, लिनक्स के लिए इस WannaCry सॉफ़्टवेयर प्रतिकृति के समान।
जबकि UPnProxy एक कमजोर राउटर पर पोर्ट मैपिंग को संशोधित करता है। चिरस्थायी परिवार SMB द्वारा उपयोग किए जाने वाले सेवा बंदरगाहों को संबोधित करता है, जो एक सामान्य नेटवर्क प्रोटोकॉल है जिसका उपयोग अधिकांश कंप्यूटर करते हैं।
साथ में, अकामाई ने नए हमले को "अनन्तसिलेंस" कहा, जो नाटकीय रूप से कई और कमजोर उपकरणों के लिए प्रॉक्सी नेटवर्क के प्रसार का विस्तार करता है।
हजारों संक्रमित कंप्यूटर
अकामाई का कहना है कि 45.000 से अधिक उपकरण पहले से ही विशाल नेटवर्क के नियंत्रण में हैं। संभावित रूप से, यह संख्या एक मिलियन से अधिक कंप्यूटरों तक पहुंच सकती है।
यहां लक्ष्य एक लक्षित हमला नहीं है "लेकिन" यह कई पहले से दुर्गम उपकरणों को लेने की उम्मीद में, अपेक्षाकृत छोटे स्थान में एक बड़े नेटवर्क को लॉन्च करने के लिए, सिद्ध कारनामों का लाभ उठाने का प्रयास है।
दुर्भाग्य से अनन्त निर्देशों का पता लगाना मुश्किल है, इससे प्रशासकों के लिए यह जानना मुश्किल हो जाता है कि क्या वे संक्रमित हैं।
उस ने कहा, EternalRed और EternalBlue के लिए सुधार और एक साल पहले ही जारी किया गया था, लेकिन लाखों डिवाइस अप्रभावित और कमजोर रहते हैं।
कमजोर उपकरणों की संख्या कम हो रही है। हालांकि, सीमैन ने कहा कि नई UPnProxy विशेषताएं "संभवतः गैर-सही और पहले से दुर्गम मशीनों के एक सेट के खिलाफ ज्ञात कारनामों का उपयोग करने के लिए एक अंतिम-खाई का प्रयास हो सकता है।"