Nieco ponad rok po wdrożeniu, aby udaremnić potężne wyczyny NSA które wyciekły online, Setki tysięcy komputerów pozostają nieskorygowane i podatne na ataki.
Najpierw były używane do rozprzestrzeniania oprogramowania ransomware, a następnie były ataki wydobywające kryptowaluty.
Teraz Naukowcy twierdzą, że hakerzy (lub crackerzy) używają narzędzi filtrujących do tworzenia jeszcze większej złośliwej sieci proxy. Dlatego hakerzy używają narzędzi NSA do przechwytywania komputerów.
Najnowsze odkrycia
Nowe odkrycia firmy ochroniarskiej „Akamai” wskazują, że luka UPnProxy narusza powszechny uniwersalny protokół sieciowy Plug and Play.
I że możesz teraz kierować reklamy na niezałatane komputery za zaporą routera.
Atakujący tradycyjnie używają UPnProxy do zmiany przypisania ustawień przekierowania portów na routerze, którego dotyczy problem.
W ten sposób pozwolili na zaciemnianie i złośliwe kierowanie ruchu. Dlatego można to wykorzystać do przeprowadzania ataków typu „odmowa usługi” lub rozprzestrzeniania złośliwego oprogramowania lub spamu.
W większości przypadków nie ma to wpływu na komputery w sieci, ponieważ były one chronione regułami translacji adresów sieciowych (NAT) routera.
Ale teraz, Akamai twierdzi, że najeźdźcy używają potężniejszych exploitów, aby przedostać się przez router i infekować poszczególne komputery w sieci.
To daje najeźdźcom znacznie większą liczbę urządzeń, do których można dotrzeć. Ponadto sprawia, że złośliwa sieć jest znacznie silniejsza.
„Chociaż niefortunnie jest widzieć, jak atakujący wykorzystują UPnProxy i aktywnie wykorzystują go do atakowania systemów, które wcześniej były chronione za NAT, w końcu tak się stanie” - powiedział Chad Seaman z Akamai, który napisał raport.
Atakujący wykorzystują dwa rodzaje exploitów iniekcyjnych:
Z których pierwszy to EternalBlue, to tylne drzwi opracowane przez Narodową Agencję Bezpieczeństwa atakować komputery z zainstalowanym systemem Windows.
Podczas gdy w przypadku użytkowników Linuksa istnieje exploit o nazwie EternalRed, w którym napastnicy uzyskują niezależny dostęp za pośrednictwem protokołu Samby.
Informacje o EternalRed
Ważne jest, aby wiedzieć, że lSamba w wersji 3.5.0 była podatna na tę lukę w zdalnym wykonaniu kodu, co umożliwiło złośliwemu klientowi przesłanie biblioteki współdzielonej do udziału przeznaczonego do zapisu, a następnie załaduj serwer i uruchom go.
Osoba atakująca może uzyskać dostęp do komputera z systemem Linux i podnieś uprawnienia za pomocą lokalnej luki, aby uzyskać dostęp do roota i zainstalować ewentualne oprogramowanie ransomware futurlub podobny do tej repliki oprogramowania WannaCry dla systemu Linux.
Natomiast UPnProxy modyfikuje mapowanie portów na routerze podatnym na ataki. Odwieczna rodzina obejmuje porty usług używane przez SMB, wspólny protokół sieciowy używany przez większość komputerów.
Akamai nazywa ten nowy atak „EternalSilence”, co radykalnie rozszerza rozprzestrzenianie się sieci proxy na wiele bardziej podatnych na ataki urządzeń.
Tysiące zainfekowanych komputerów
Akamai twierdzi, że ponad 45.000 XNUMX urządzeń jest już pod kontrolą ogromnej sieci. Potencjalnie liczba ta może przekroczyć milion komputerów.
Celem nie jest tu atak ukierunkowany ", ale" jest to próba wykorzystania sprawdzonych exploitów, uruchomienie dużej sieci na stosunkowo małej przestrzeni w nadziei na przechwycenie kilku wcześniej niedostępnych urządzeń.
Niestety odwieczne instrukcje są trudne do wykrycia, co utrudnia administratorom stwierdzenie, czy są zainfekowane.
To powiedziawszy, poprawki dla EternalRed i EternalBlue zostały wydane nieco ponad rok temu, ale miliony urządzeń pozostają niezałatane i podatne na ataki.
Liczba podatnych urządzeń maleje. Jednak Seaman powiedział, że nowe funkcje UPnProxy „mogą być ostatnią próbą wykorzystania znanych exploitów przeciwko zestawowi prawdopodobnie nieskorygowanych i wcześniej niedostępnych maszyn”.