Nul
Akamai har fundet en genial malware kampagne, der ændrer konfigurationer på hjemmet og det mindre kontor routere til at åbne forbindelser mod interne netværk, så svindlerne kan inficere tidligere isolerede computere.
Den måde, hackere opnå dette, Akamai sagde, er via en teknik, der er kendt som UPnProxy, hvor virksomheden første detaljerede i April dette år.
Teknikken bygger på at udnytte sårbarheder i UPnP services er installeret på nogle routere til at ændre den enhed, NAT (Network Address Translation) tabeller.
NAT tabeller er et sæt af regler, der styrer, hvordan ip-adresser og porte fra routerens interne netværk, der er knyttet til et bedre netværk segment –normalt Internettet.
I April blev hackere bruger denne teknik til at konvertere routere i fuldmagter til almindelig web-trafik, men i en rapport, der blev offentliggjort i dag, Akamai siger, at det er ses en ny variant af UPnProxy, hvor nogle kloge hackere, er at udnytte UPnP-tjenester for at indsætte særlige regler i routere NAT tabeller.
Disse regler virker stadig som en (proxy) omadresseringer, men i stedet for at formidle web trafik på hacker ‘ s foranledning, de gøre det muligt for en ekstern hacker at oprette forbindelse til SMB-porte (139, 445) af enheder og computere, der er placeret bag routeren, på det interne netværk.
Over 45.000 routere, der allerede er inficeret
Akamai eksperter siger, at fra 277,000 routere med sårbare UPnP services udsat online, 45,113 er allerede blevet ændret i den seneste kampagne.
Forskere siger, at en bestemt hacker, eller hacker-gruppen, har brugt uger at oprette en brugerdefineret NAT post med navnet ‘galleta silenciosa’ (‘silent cookie/cracker’ på spansk) på disse 45,000 routere.
Akamai siger, at det opdaget “millioner af succes injektioner”, i hvilke skurke, der er tilsluttet via disse porte til enheder uden routere. Akamai sætte antallet af disse enheder omkring 1,7 mio figur.
Hvad hackerne gjorde, Akamai kan ikke fortælle, da de ikke har overblik inden for disse netværk. Men selskabet er helt sikre på, at disse “injektioner” har noget at gøre med EternalBlue, et af de stykker af malware, der er udviklet af det AMERIKANSKE National Security Agency, og der lækket på nettet sidste år, og den malware, der var i hjertet af den WannaCry og NotPetya ransomware udbrud.
Desuden, Akamai mener også, hackere indsat EternalRed, en variant af EternalBlue, der kan inficere Linux-systemer via Samba, SMB-protokollen for gennemførelsen Linux.
Angreb er opportunistisk, men farligt
Men der er gode nyheder, så dette synes ikke at være en nation-state orkestreret hacking drift med en større slutningen mål i tankerne.
“De seneste scanninger tyder på, at disse angribere er at være opportunistisk,” Akamai sagde. “Målet her er ikke et målrettet angreb. Det er et forsøg på at udnytte afprøvede og sande fra hylden udnytter, at kaste et bredt net ud i en relativt lille dam, i håb om at øse op på en pulje af tidligere utilgængelige enheder.”
I de seneste år, EternalBlue er blevet det foretrukne værktøj hacker grupper, der er involveret i cryptocurrency minedrift, og det kan være lige sagen, så godt.
Ikke desto mindre, at virksomheder, der ikke ønsker, at disse angreb til at vende om til noget der er meget værre er, tilrådes det, at du enten deaktivere UPnP-tjenesten på deres routere eller få en ny og mere moderne router i stedet, som der ikke bruger en sårbar UPnP gennemførelse.
Akamai refererer til netop denne router hacking kampagne som EternalSilence, et navn der stammer fra brugen af EternalBlue udnytter og Lydløs Cookie, navnet på den skadelige NAT tabellen poster. Virksomheden har også udgivet en vejledning på bunden af sin rapport om, hvordan at fjerne den skadelige NAT tabellen poster fra de berørte routere.
Relaterede sikkerhed dækning:
Tyskland foreslår router sikkerhed guidelinesIoT botnet inficerer 100,000 routere til at sende Hotmail, Outlook, Yahoo spamAdvanced DDoS-angreb op 16% fra sidste år TechRepublicNye DDoS-botnet går efter Hadoop virksomheden serversSatori botnet forfatter i fængsel igen efter at bryde foreløbig løsladelse conditionsThat VPNFilter botnet FBI ville have os til at hjælpe med at dræbe? Det er stadig i live CNETFBI demonterer gigantisk ad bedrageri, der opererer på tværs over en million IPsTwo botnets kæmper om kontrol af tusindvis af usikrede Android-enheder
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0