Nul
Akamai heeft gevonden een ingenieuze malware campagne dat verandert configuraties op thuis en in kleine kantoren routers open verbindingen in de richting van interne netwerken, zodat oplichters kunnen infecteren voorheen geïsoleerde computers.
De manier waarop hackers dit te bereiken, Akamai zei, is via een techniek die bekend staat als UPnProxy, die het bedrijf voor het eerst gedetailleerd in April van dit jaar.
De techniek is gebaseerd op het uitbuiten van kwetsbaarheden in de UPnP-services geïnstalleerd op sommige routers te wijzigen het apparaat NAT (Network Address Translation) tabellen.
NAT tabellen zijn een set van regels die bepalen hoe de ip-adressen en poorten van de router uit het interne netwerk worden toegewezen aan een beter netwerk segment –meestal het Internet.
In April, hackers werden met behulp van deze techniek om te zetten routers in de proxy ‘ s voor het reguliere web-verkeer, maar in een vandaag gepubliceerd rapport, Akamai zegt dat het zien van een nieuwe variant van UPnProxy waar enkele slimme hackers gebruik van UPnP-diensten voor het invoegen van speciale regels in routers NAT tabellen.
Deze regels werken nog steeds als een (proxy) omleidingen, maar in plaats van het doorgeven van het web verkeer in de hacker opdracht, ze staan een externe hacker om verbinding te maken met de SMB-poorten (139, 445) van apparaten en computers achter de router, op het interne netwerk.
Meer dan 45.000 routers al besmet
Akamai experts zeggen dat van de 277,000 routers met kwetsbare UPnP diensten blootgesteld online, 45,113 zijn reeds aangepast in de recente campagne.
Onderzoekers zeggen dat een bepaalde hacker of hackers groep heeft al weken het maken van een eigen NAT-item met de naam ‘galleta silenciosa’ (‘stille koekje/cracker’ in het spaans) op deze 45,000 routers.
Akamai zegt dat het gedetecteerd “miljoenen succesvolle injecties” tijdens die boeven die zijn aangesloten via deze poorten om apparaten buiten de routers. Akamai zet het aantal van deze apparaten rond de 1,7 miljoen figuur.
Wat de hackers deden, Akamai kan het niet vertellen, omdat ze niet over de zichtbaarheid binnen deze netwerken. Maar het bedrijf is vrij zeker van dat deze “injecties” iets te doen met EternalBlue, één van de stukken van malware is ontwikkeld door de AMERIKAANSE National Security Agency, en die gelekt online vorig jaar, en de malware die was in het hart van de WannaCry en NotPetya ransomware uitbraken.
Bovendien, Akamai, gelooft ook hackers ingezet EternalRed, een variant van EternalBlue dat kan infecteren Linux-systemen via Samba, het SMB-protocol implementatie voor Linux.
Aanvallen zijn opportunistisch, maar gevaarlijk
Maar er is goed nieuws, als deze niet wordt weergegeven als een natie-staat is georkestreerd hacken operatie met een grotere einddoel in gedachten.
“Recente scans op te wijzen dat deze aanvallers zijn opportunistisch,” Akamai zei. “Het doel is niet een gerichte aanval. Het is een poging op het benutten van beproefde en ware uit de kast exploits, het gieten van een uitgebreid net in een relatief kleine vijver, in de hoop van het ontvangen van een pool van voorheen ontoegankelijke apparaten.”
In het afgelopen jaar, EternalBlue is uitgegroeid tot de favoriete tool van hacker groepen die betrokken zijn bij cryptocurrency mijnbouw, en dit zou slechts het geval zijn, als goed.
Niettemin, bedrijven die niet willen dat deze aanvallen om te zetten in iets veel en veel erger worden geadviseerd om ofwel uitschakelen van de UPnP-service op hun routers of krijgen een nieuwe en meer moderne router in plaats daarvan, die niet met een kwetsbare UPnP implementatie.
Akamai verwijst naar deze specifieke router te hacken campagne als EternalSilence, een naam die is afgeleid van het gebruik van de EternalBlue exploits en Stille Cookie, de naam van de kwaadaardige NAT-tabel. Het bedrijf heeft ook gepubliceerd instructies aan de onderkant van haar rapport over het verwijderen van de kwaadaardige NAT-tabel van de betrokken routers.
Verwante zekerheid:
Duitsland stelt router security guidelinesIoT botnet infecteert de 100.000 routers te verzenden uit Hotmail, Outlook, Yahoo, spamAdvanced DDoS-aanvallen een stijging van 16% ten opzichte van vorig jaar TechRepublicNieuwe DDoS-botnet gaat na Hadoop enterprise serversSatori botnet auteur in de gevangenis weer na het breken van voorhechtenis release conditionsThat VPNFilter botnet de FBI wilde ons te doden? Het is nog steeds levend CNETFBI ontmantelt gigantische ad fraude regeling die over meer dan een miljoen IPsTwo botnets aan het vechten zijn en de controle van duizenden onbeveiligde Android-apparaten
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0