กว่าหนึ่งปีหลังจากการปรับใช้เพื่อขัดขวางการแสวงหาประโยชน์อันทรงพลังของ NSA ที่รั่วไหลทางออนไลน์ คอมพิวเตอร์หลายแสนเครื่องยังคงไม่ได้รับการแก้ไขและมีช่องโหว่
ประการแรกพวกเขาถูกใช้เพื่อแพร่กระจาย ransomware จากนั้นก็มาถึงการโจมตีการขุด cryptocurrency
ตอนนี้ นักวิจัยกล่าวว่าแฮกเกอร์ (หรือแคร็กเกอร์) กำลังใช้เครื่องมือกรองเพื่อสร้างเครือข่ายพร็อกซีที่เป็นอันตรายที่มีขนาดใหญ่ขึ้น. ดังนั้นแฮกเกอร์จึงใช้เครื่องมือ NSA เพื่อจี้คอมพิวเตอร์
การค้นพบล่าสุด
การค้นพบใหม่โดย บริษัท รักษาความปลอดภัย "Akamai" กล่าวว่าช่องโหว่ UPnProxy ละเมิดโปรโตคอลเครือข่ายสากล Plug and Play ที่ใช้กันทั่วไป
และตอนนี้คุณสามารถกำหนดเป้าหมายคอมพิวเตอร์ที่ไม่ได้แพตช์หลังไฟร์วอลล์ของเราเตอร์ได้
ผู้โจมตีมักใช้ UPnProxy เพื่อกำหนดการตั้งค่าการส่งต่อพอร์ตบนเราเตอร์ที่ได้รับผลกระทบ
ด้วยเหตุนี้จึงอนุญาตให้เกิดความสับสนและการกำหนดเส้นทางการรับส่งข้อมูลที่เป็นอันตราย ดังนั้นจึงสามารถใช้เพื่อเปิดการโจมตีแบบปฏิเสธบริการหรือแพร่กระจายมัลแวร์หรือสแปม
ในกรณีส่วนใหญ่คอมพิวเตอร์ในเครือข่ายจะไม่ได้รับผลกระทบเนื่องจากได้รับการปกป้องโดยกฎการแปลที่อยู่เครือข่าย (NAT) ของเราเตอร์
แต่ตอนนี้ Akamai กล่าวว่าผู้บุกรุกใช้ช่องโหว่ที่มีประสิทธิภาพมากกว่าเพื่อผ่านเราเตอร์และติดไวรัสคอมพิวเตอร์แต่ละเครื่องในเครือข่าย
สิ่งนี้ทำให้ผู้บุกรุกมีอุปกรณ์จำนวนมากที่สามารถเข้าถึงได้ นอกจากนี้ยังทำให้เครือข่ายที่เป็นอันตรายแข็งแกร่งขึ้นมาก
"แม้ว่าจะเป็นเรื่องโชคร้ายที่เห็นผู้โจมตีใช้ UPnProxy และใช้ประโยชน์จากมันเพื่อโจมตีระบบที่ได้รับการปกป้องจาก NAT ก่อนหน้านี้ แต่ในที่สุดก็จะเกิดขึ้น" ชาดซีแมนจาก Akamai ผู้เขียนรายงานกล่าว
ผู้โจมตีใช้ประโยชน์จากการฉีดสองประเภท:
ซึ่งอันดับแรกคือ EternalBlueนี่คือประตูหลังที่พัฒนาโดยสำนักงานความมั่นคงแห่งชาติ เพื่อโจมตีคอมพิวเตอร์ที่ติดตั้ง Windows
ในขณะที่ในกรณีของผู้ใช้ Linux มีการเรียกใช้ประโยชน์ EternalRed ซึ่งผู้โจมตีสามารถเข้าถึงได้อย่างอิสระผ่านโปรโตคอล Samba
เกี่ยวกับ EternalRed
สิ่งสำคัญคือต้องรู้ว่า lSamba เวอร์ชัน 3.5.0 มีความเสี่ยงต่อข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลซึ่งอนุญาตให้ไคลเอนต์ที่เป็นอันตรายโหลดไลบรารีที่ใช้ร่วมกันบนการแชร์ที่เขียนได้ จากนั้นให้เซิร์ฟเวอร์โหลดและเรียกใช้งาน
ผู้โจมตีสามารถเข้าถึงเครื่อง Linux และ ยกระดับสิทธิ์โดยใช้ช่องโหว่ในพื้นที่เพื่อเข้าถึงรูทและติดตั้งแรนซัมแวร์ที่เป็นไปได้หรือคล้ายกับซอฟต์แวร์จำลอง WannaCry สำหรับ Linux
ในขณะที่ UPnProxy แก้ไขการแมปพอร์ตบนเราเตอร์ที่มีช่องโหว่ ตระกูลนิรันดร์จะอยู่ที่พอร์ตบริการที่ SMB ใช้ซึ่งเป็นโปรโตคอลเครือข่ายทั่วไปที่คอมพิวเตอร์ส่วนใหญ่ใช้
Akamai เรียกการโจมตีใหม่ว่า "EternalSilence" เพื่อขยายการแพร่กระจายของเครือข่ายพร็อกซีสำหรับอุปกรณ์ที่มีช่องโหว่จำนวนมากขึ้นอย่างมาก
คอมพิวเตอร์ที่ติดไวรัสหลายพันเครื่อง
Akamai กล่าวว่าอุปกรณ์มากกว่า 45.000 เครื่องอยู่ภายใต้การควบคุมของเครือข่ายขนาดใหญ่แล้ว อาจเป็นไปได้ว่าจำนวนนี้สามารถเข้าถึงคอมพิวเตอร์มากกว่าหนึ่งล้านเครื่อง
เป้าหมายในที่นี้ไม่ใช่การโจมตีแบบกำหนดเป้าหมาย "แต่" เป็นความพยายามที่จะใช้ประโยชน์จากการหาประโยชน์ที่ได้รับการพิสูจน์แล้วโดยเปิดตัวเครือข่ายขนาดใหญ่ในพื้นที่ที่ค่อนข้างเล็กโดยหวังว่าจะหยิบอุปกรณ์ที่ไม่สามารถเข้าถึงได้ก่อนหน้านี้
น่าเสียดายที่คำแนะนำของ Eternal นั้นตรวจพบได้ยากทำให้ผู้ดูแลระบบทราบได้ยากว่าติดไวรัสหรือไม่
ที่กล่าวว่าการแก้ไขสำหรับ EternalRed และ EternalBlue และได้รับการเผยแพร่เมื่อไม่นานมานี้ แต่อุปกรณ์หลายล้านเครื่องยังคงไม่ได้รับการแก้ไขและมีช่องโหว่
จำนวนอุปกรณ์ที่มีช่องโหว่กำลังลดลง อย่างไรก็ตามซีแมนกล่าวว่าคุณลักษณะใหม่ของ UPnProxy "อาจเป็นความพยายามครั้งสุดท้ายในการใช้ช่องโหว่ที่ทราบกับชุดของเครื่องที่อาจไม่ได้รับการแก้ไขและไม่สามารถเข้าถึงได้ก่อนหน้านี้"