Μαζικό router hack εκθέτει εκατομμύρια συσκευές χρησιμοποιώντας tool της NSA

Μαζικό router hack εκθέτει εκατομμύρια συσκευές χρησιμοποιώντας tool της NSA Περισσότερα από 45.000 routers έχουν παραβιαστεί από μία καμπάνια που μόλις ανακαλύφθηκε. Η καμπάνια είναι σχεδιασμένη να ανοίγει συγκεκριμένα ports στα router, ώστε να μπορούν αργότερα να μολυνθούν όσα συστήματα υπάρχουν στο τοπικό τους δίκτυο, αλλά και για να μπορούν να εκτελεστούν επιπλέον επιθέσεις με το EternalBlue. Το EternalBlue είναι ένα exploit που δημιουργήθηκε από την NSA και διέρρευσε στο διαδίκτυο τον Απρίλιο του 2017. Η νέα καμπάνια που ανακαλύφθηκε εκμεταλλεύεται την ευπάθεια του UPnP πολλών router, και τα αναγκάζει να ανοίξουν τις θύρες 139 και 445. Ως αποτέλεσμα, όσες συσκευές βρίσκονται στο τοπικό δίκτυο των μολυσμένων router, είναι προσβάσιμα απευθείας από το διαδίκτυο. Με μόλις 45.000 μολυσμένα router, ο συνολικός αριθμός συσκευών (smart phones, pcs, tablets, servers, και άλλα) που είναι προσβάσιμες από το διαδίκτυο αγγίζει τις 2 εκατομμύρια. Ενώ δεν είναι ακόμα σίγουρο το πως θα εκμεταλλευτούν οι hackers όλες αυτές τις συσκευές, οι θύρες που ενεργοποιούνται δίνουν κάποια hints για την εξάπλωση των EternalBlue και EternalRed. Η εν λόγω επίθεση πρόκειται για παραλλαγή της επίθεσης που αναλύθηκε τον Απρίλιο. Ονομάζεται UPnProxy επειδή κάνει χρήση της ευπάθειας το UPnP για να μετατρέψει τα ευπαθή router σε proxies που αποκρύπτουν την προέλευση spam email, επιθέσεων DDoS και botnets. Σύμφωνα με ερευνητές της Akamai, οι οποίοι έδωσαν στην νέα παραλλαγή την ονομασία EternalSilence, η παραλλαγή κάνει inject εντολές στα ευπαθή router. Η νέα καταχώρηση που δημιουργείται έχει το όνομα «galleta silenciosa» που μεταφράζεται ως “silent cookie/cracker”. Το EternalBlue είναι ένα tool που σχεδιάστηκε από την NSA. Το 2017 ένα group με το όνομα Shadow Brokers δημοσίευσε τον κώδικα με την οποία μπορεί να γίνει η επίθεση. Έναν μήνα αργότερα το EternalBlue ενσωματώθηκε στο Wannacry ransomware, το οποίο κατάφερε να μολύνει εκατομμύρια συστήματα σε μικρό χρονικό διάστημα. Έναν μήνα αργότερα το EternalBlue ενσωματώθηκε και στο disk wiper γνωστό ως NotPetya. Ενώ έχουν κυκλοφορήσει security patches από πέρσι, πολλοί είναι οι οργανισμοί που ακόμα και σήμερα δεν τα έχουν εφαρμόσει. Ωστόσο αυτό δεν σημαίνει ότι όλα τα μη ενημερωμένα συστήματα είναι ευπαθή. Αν τα ports που αναφέρθηκαν είναι κλειστά, τότε τα exploits δεν μπορούν να εξαπλωθούν. Η εν λόγω επίθεση δεν είναι στοχευμένη. Αυτό που προσπαθούν να κάνουν είναι να μολύνουν όσα περισσότερα συστήματα μπορούν, ανεξαρτήτου τοποθεσίας, δύναμης ή κάποιας άλλης κατηγοριοποίησης.


Περισσότερα από 45.000 routers έχουν παραβιαστεί από μία καμπάνια που μόλις ανακαλύφθηκε. Η καμπάνια είναι σχεδιασμένη να ανοίγει συγκεκριμένα ports στα router, ώστε να μπορούν αργότερα να μολυνθούν όσα συστήματα υπάρχουν στο τοπικό τους δίκτυο, αλλά και για να μπορούν να εκτελεστούν επιπλέον επιθέσεις με το EternalBlue. Το EternalBlue είναι ένα exploit που δημιουργήθηκε από την NSA και διέρρευσε στο διαδίκτυο τον Απρίλιο του 2017.

Η νέα καμπάνια που ανακαλύφθηκε εκμεταλλεύεται την ευπάθεια του UPnP πολλών router, και τα αναγκάζει να ανοίξουν τις θύρες 139 και 445. Ως αποτέλεσμα, όσες συσκευές βρίσκονται στο τοπικό δίκτυο των μολυσμένων router, είναι προσβάσιμα απευθείας από το διαδίκτυο. Με μόλις 45.000 μολυσμένα router, ο συνολικός αριθμός συσκευών (smart phones, pcs, tablets, servers, και άλλα) που είναι προσβάσιμες από το διαδίκτυο αγγίζει τις 2 εκατομμύρια. Ενώ δεν είναι ακόμα σίγουρο το πως θα εκμεταλλευτούν οι hackers όλες αυτές τις συσκευές, οι θύρες που ενεργοποιούνται δίνουν κάποια hints για την εξάπλωση των EternalBlue και EternalRed.

Η εν λόγω επίθεση πρόκειται για
παραλλαγή της επίθεσης που αναλύθηκε τον Απρίλιο. Ονομάζεται UPnProxy επειδή κάνει χρήση της ευπάθειας το UPnP για να μετατρέψει τα ευπαθή router σε proxies που αποκρύπτουν την προέλευση spam email, επιθέσεων DDoS και botnets.

Σύμφωνα με ερευνητές της Akamai, οι οποίοι έδωσαν στην νέα παραλλαγή την ονομασία EternalSilence, η παραλλαγή κάνει inject εντολές στα ευπαθή router. Η νέα καταχώρηση που δημιουργείται έχει το όνομα «galleta silenciosa» που μεταφράζεται ως “silent cookie/cracker”.

Το EternalBlue είναι ένα tool που σχεδιάστηκε από την NSA. Το 2017 ένα group με το όνομα Shadow Brokers δημοσίευσε τον κώδικα με την οποία μπορεί να γίνει η επίθεση. Έναν μήνα αργότερα το EternalBlue ενσωματώθηκε στο Wannacry ransomware, το οποίο κατάφερε να μολύνει εκατομμύρια συστήματα σε μικρό χρονικό διάστημα. Έναν μήνα αργότερα το EternalBlue ενσωματώθηκε και στο disk wiper γνωστό ως NotPetya.

Ενώ έχουν κυκλοφορήσει security patches από πέρσι, πολλοί είναι οι οργανισμοί που ακόμα και σήμερα δεν τα έχουν εφαρμόσει. Ωστόσο αυτό δεν σημαίνει ότι όλα τα μη ενημερωμένα συστήματα είναι ευπαθή. Αν τα ports που αναφέρθηκαν είναι κλειστά, τότε τα exploits δεν μπορούν να εξαπλωθούν.

Η εν λόγω επίθεση δεν είναι στοχευμένη. Αυτό που προσπαθούν να κάνουν είναι να μολύνουν όσα περισσότερα συστήματα μπορούν, ανεξαρτήτου τοποθεσίας, δύναμης ή κάποιας άλλης κατηγοριοποίησης.

πηγή
Σχόλια