Noll
Akamai har upptäckt en genial malware kampanj som förändrar konfigurationer för hem och små kontor routrar för att öppna anslutningar mot interna nätverk så att skurkarna kan infektera tidigare isolerade datorer.
Vägen hackare uppnå detta, Akamai sagt, är via en teknik som kallas UPnProxy, som företaget detaljerade i April detta år.
Tekniken bygger på att utnyttja sårbarheter i UPnP-tjänster som är installerade på vissa routrar för att ändra enhetens NAT (Network Address Translation) tabeller.
NAT tabeller är en uppsättning regler som styr hur ip-adresser och portar från routerns interna nätverket är mappad till en överlägsen segment-vanligtvis Internet.
I April var hackare använder denna teknik för att konvertera routrar in fullmakter för vanlig webbtrafik, men i en rapport som publiceras idag, Akamai säger att det har sett en ny variant av UPnProxy där några smarta hackare utnyttjar UPnP-tjänster för att infoga särskilda regler i routrar NAT bord.
Dessa regler fungerar fortfarande som en (proxy) omdirigeringar, men istället för att förmedla webbtrafik på the hacker ‘ s befallning, att de låta en extern hacker för att ansluta till SMB-portar (139, 445) av enheter och datorer som ligger bakom routern, på det interna nätverket.
Över 45 000 routrar redan smittade
Akamai experter säger att från 277,000 routrar med utsatta UPnP-tjänster utsatt online, 45,113 har redan ändrats i den senaste kampanjen.
Forskare säger att en viss hacker, eller hacker-gruppen, har tillbringat veckor med att skapa en anpassad NAT inlägg som heter “galleta silenciosa’ (‘tyst cookie/cracker’ på spanska) på dessa är 45 000 routrar.
Akamai säger att det upptäckts “av miljontals framgångsrika injektioner” under vilka skurkar som är ansluten genom dessa portar till enheter utanför den routrar. Akamai sätta antal av dessa enheter runt 1,7 miljoner figur.
Vad hackare gjorde, Akamai kan inte berätta, eftersom de inte har insyn i dessa nätverk. Men företaget är ganska säker på att dessa “injektioner” ha något att göra med EternalBlue, en av de bitar av skadlig kod som utvecklats av det AMERIKANSKA National Security Agency, och som läckt ut på nätet förra året, och malware som var i hjärtat av WannaCry och NotPetya ransomware utbrott.
Dessutom, Akamai anser också hackare utplacerade EternalRed, en variant av EternalBlue som kan infektera Linux-system via Samba, SMB-protokollet genomförande för Linux.
Attacker är opportunistiska, men farligt
Men det finns goda nyheter, eftersom detta inte verkar vara en nation-state iscensatt hacka drift med ett större mål i åtanke.
“De senaste skannar tyder på att dessa attacker är att vara opportunistiska,” Akamai sagt. “Målet här är inte en riktad attack. Det är ett försök till att utnyttja beprövade från hyllan utnyttjar, jobbintervju ett brett nät i en relativt liten damm, i hopp om att ösa upp en pool av tidigare otillgängliga enheter.”
Under det senaste året, EternalBlue har blivit en favorit verktyg för hacker grupper som är inblandade i cryptocurrency gruvdrift, och detta kan vara just det fallet, liksom.
Icke desto mindre företag som inte vill att dessa attacker att förvandlas till något mycket mycket värre rekommenderas att antingen inaktivera UPnP-tjänsten på deras routrar eller få en ny och mer modern router istället, som att inte använda en sårbar UPnP genomförande.
Akamai hänvisar till denna router hacka kampanj som EternalSilence, ett namn som härrör från användning av EternalBlue utnyttjar och Tyst Cookie, namnet på den skadliga NAT bord poster. Bolaget har också publicerat instruktioner längst ner i sin rapport om hur man tar bort skadliga NAT-tabellen från drabbade routrar.
Relaterade förmåner:
Tyskland föreslår router säkerhet guidelinesIoT botnet infekterar 100,000 routrar för att skicka Hotmail, Outlook, Yahoo spamAdvanced DDoS-attacker ökade med 16% från förra året TechRepublicNya DDoS-botnät går efter Hadoop företag serversSatori botnet författare i fängelse igen efter att bryta väntan på rättegång släppa conditionsThat VPNFilter botnet FBI ville att vi skulle hjälpa till att döda? Det är fortfarande lever CNETFBI demonterar gigantisk annons bedrägeri system över en miljon IPsTwo botnät är kampen över kontrollen av tusentals utan säkerhet Android-enheter
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0