Nekaj več kot leto dni po napotitvi, da bi preprečili močne podvige NSA ki je pricurljala v splet Na stotine tisoč računalnikov ostaja nepopravljenih in ranljivih.
Najprej so jih uporabljali za širjenje odkupne programske opreme, nato so prišli napadi na rudarjenje kriptovalut.
Zdaj, raziskovalci pravijo, da hekerji (ali krekerji) uporabljajo orodja za filtriranje, da bi ustvarili še večje zlonamerno proxy omrežje. Zato hekerji za ugrabitev računalnikov uporabljajo orodja NSA.
Nedavna odkritja
Nova odkritja varnostnega podjetja "Akamai" pravijo, da ranljivost UPnProxy zlorablja običajni univerzalni omrežni protokol Plug and Play.
In zdaj lahko ciljate na nepokrite računalnike za požarnim zidom usmerjevalnika.
Napadalci običajno uporabljajo UPnProxy za ponovno dodelitev nastavitev posredovanja vrat na prizadetem usmerjevalniku.
Tako so dovolili zakrivanje in zlonamerno usmerjanje prometa. Zato ga lahko uporabimo za napad na zavrnitev storitve ali širjenje zlonamerne programske opreme ali neželene pošte.
V večini primerov na računalnike v omrežju to ne vpliva, ker so bili zaščiteni s pravili prevajanja omrežnih naslovov (NAT) usmerjevalnika.
Ampak zdaj, Akamai pravi, da napadalci z močnejšimi podvigi prebijejo usmerjevalnik in okužijo posamezne računalnike v omrežju.
To omogoča vsiljivcem veliko večje število naprav, ki jih je mogoče doseči. Prav tako je zlonamerno omrežje veliko močnejše.
"Čeprav je žalostno videti napadalce, ki uporabljajo UPnProxy in ga aktivno izkoriščajo za napade na sisteme, ki so bili prej zaščiteni za NATom, se bo sčasoma zgodilo," je dejal Chad Seaman iz Akamai, ki je napisal poročilo.
Napadalci uporabljajo dve vrsti injekcijskih podvigov:
Od katerih je prva Večno modra, to so zadnja vrata, ki jih je razvila Agencija za nacionalno varnost napasti računalnike z nameščenim sistemom Windows.
Medtem ko je v primeru uporabnikov Linuxa uporabljen podvig EternalRed, v katerem napadalci dostopajo neodvisno prek protokola Samba.
O EternalRedu
Pomembno je vedeti, da lRazličica Samba 3.5.0 je bila ranljiva za to napako pri oddaljenem izvajanju kode, ki je zlonamernemu odjemalcu omogočila, da je knjižnico v skupni rabi naložil v zapisljiv del, nato naložite strežnik in ga zaženite.
Napadalec lahko dostopa do računalnika Linux in dvignite privilegije z lokalno ranljivostjo, da pridobite korenski dostop in namestite morebitno futur ransomwareali, podobno tej repliki programske opreme WannaCry za Linux.
UPnProxy pa spreminja preslikavo vrat na ranljivem usmerjevalniku. Večna družina naslavlja servisna vrata, ki jih uporablja SMB, skupni omrežni protokol, ki ga uporablja večina računalnikov.
Akamai novi napad imenuje "EternalSilence", ki močno širi širjenje proxy omrežja za številne bolj ranljive naprave.
Na tisoče okuženih računalnikov
Akamai pravi, da je več kot 45.000 naprav že pod nadzorom ogromnega omrežja. Ta številka lahko doseže več kot milijon računalnikov.
Cilj tukaj ni ciljni napad "ampak" To je poskus izkoriščanja preizkušenih podvigov, zagon velikega omrežja na sorazmerno majhnem prostoru v upanju, da bo pobral več prej nedostopnih naprav.
Na žalost je večna navodila težko zaznati, zato skrbniki težko vedo, ali so okuženi.
Glede na to so bili popravki za EternalRed in EternalBlue izdani pred dobrim letom dni, vendar milijoni naprav ostajajo neprimerni in ranljivi.
Število ranljivih naprav se zmanjšuje. Vendar je Seaman dejal, da so nove funkcije UPnProxy "morda zadnji poskus, da bi uporabili znane podvige proti naboru morda nepopravljenih in prej nedostopnih strojev."