Спустя чуть больше года после развертывания, чтобы предотвратить мощные подвиги АНБ что просочилось в сеть, Сотни тысяч компьютеров остаются неисправленными и уязвимыми.
Сначала они использовались для распространения программ-вымогателей, затем последовали атаки на майнинг криптовалюты.
Сейчас Исследователи говорят, что хакеры (или взломщики) используют инструменты фильтрации для создания еще более крупной вредоносной прокси-сети. Поэтому хакеры используют инструменты АНБ для взлома компьютеров.
Недавние открытия
Новые открытия, сделанные охранной фирмой Akamai, говорят о том, что уязвимость UPnProxy нарушает общий универсальный сетевой протокол Plug and Play.
И теперь вы можете нацеливаться на непропатченные компьютеры за межсетевым экраном маршрутизатора.
Злоумышленники традиционно используют UPnProxy для переназначения настроек переадресации портов на уязвимом маршрутизаторе.
Таким образом, они разрешили запутывание и маршрутизацию вредоносного трафика. Следовательно, это может быть использовано для запуска атак типа «отказ в обслуживании» или распространения вредоносных программ или спама.
В большинстве случаев компьютеры в сети не пострадали, поскольку они были защищены правилами трансляции сетевых адресов (NAT) маршрутизатора.
Но сейчас, Акамай говорит, что захватчики используют более мощные эксплойты, чтобы проникнуть через маршрутизатор и заразить отдельные компьютеры в сети.
Это дает захватчикам гораздо большее количество доступных устройств. Кроме того, это делает вредоносную сеть намного сильнее.
«Очень жаль, что злоумышленники используют UPnProxy и активно используют его для атак на системы, которые ранее были защищены за NAT, в конечном итоге это произойдет», - сказал Чад Симан из Akamai, написавший отчет.
Злоумышленники используют два типа инъекционных эксплойтов:
Из которых первый EternalBlue, это черный ход, разработанный Агентством национальной безопасности. атаковать компьютеры с установленной Windows.
В случае с пользователями Linux есть эксплойт под названием EternalRed, в котором злоумышленники получают независимый доступ через протокол Samba.
О EternalRed
Важно знать, что яSamba версии 3.5.0 была уязвима к этой уязвимости удаленного выполнения кода, которая позволяла злонамеренному клиенту загружать разделяемую библиотеку в доступный для записи общий ресурс, а затем загрузите сервер и запустите его.
Злоумышленник может получить доступ к машине Linux и повысить привилегии, используя локальную уязвимость, чтобы получить root-доступ и установить возможную будущую программу-вымогательили аналогично этой реплике программного обеспечения WannaCry для Linux.
В то время как UPnProxy изменяет сопоставление портов на уязвимом маршрутизаторе. Семейство everlasting обращается к сервисным портам, используемым SMB, общим сетевым протоколом, используемым большинством компьютеров.
Вместе Akamai называет новую атаку «EternalSilence», резко расширяющую распространение прокси-сети для многих других уязвимых устройств.
Тысячи зараженных компьютеров
Akamai говорит, что более 45.000 XNUMX устройств уже находятся под контролем огромной сети. Потенциально это число может достигать более миллиона компьютеров.
Целью здесь является не целевая атака », а« это попытка воспользоваться проверенными эксплойтами, запустив большую сеть на относительно небольшом пространстве, в надежде захватить несколько ранее недоступных устройств.
К сожалению, вечные инструкции трудно обнаружить, поэтому администраторам сложно определить, заражены ли они.
Тем не менее, исправления для EternalRed и EternalBlue были выпущены чуть более года назад, но миллионы устройств остаются незащищенными и уязвимыми.
Количество уязвимых устройств уменьшается. Тем не менее, Симан сказал, что новые функции UPnProxy «могут стать последней попыткой использовать известные эксплойты против ряда, возможно, неисправленных и ранее недоступных машин».