Специалисты компании Akamai предупредили о новой вредоносной кампании EternalSilence, направленной на массовую компрометацию роутеров. Злоумышленники целенаправленно открывают SMB-порты роутеров, чтобы добраться до устройств, расположенных за ними.
Исследователи пишут, что преступники эксплуатируют технику UPnProxy, о которой впервые стало известно в апреле 2018 года. Данный метод подразумевает эксплуатацию уязвимых UPnP-сервисов и последующую модификацию таблиц NAT (Network Address Translation). Так атакующие создают кастомые правила, позволяющие, например, обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.
Но если в апреле UPnProxy применялась для проксирования трафика, то теперь эксперты Akamai обнаружили новый вариант применения этой техники. Теперь атакующие модифицируют таблицы NAT таким образом, чтобы иметь возможность извне подключиться к SMB портам (139, 445) и устройствам, расположенным за роутером.
По подсчетам исследователей, перед подобными атаками уязвимы порядка 277 000 роутеров, и 45 113 из них уже подверглись компрометации. Так, один атакующий или одна и та же хак-группа внесли в NAT пострадавших устройств запись «galleta silenciosa». Специалисты считают, что взлом такого количество роутеров привел к компрометации множества других устройств за ними, и оценивают число пострадавших девайсов примерно в 1,7 млн.
Что именно злоумышленники делают с пострадавшими устройствами далее, не совсем ясно, однако специалисты убеждены, что дальнейшая вредоносная активность связана с использованием знаменитого эксплоита EternalBlue. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. В частности, он использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе атак малвари NotPetya.
Более того, аналитики Akamai считают, что в данной вредоносной кампании задействован также и эксплоит EternalRed – это вариация EternalBlue, предназначенная для заражения Linux-систем и работающая с Samba.
«Главной целью здесь являются не таргетированные атаки. Это попытка выгодно использовать уже проверенные и готовые к работе эксплоиты, закидывание большой сети в сравнительно маленький водоем, в надежде, что удастся собрать пул из ранее недоступных девайсов», — резюмируют исследователи.
Мастерская Тардис решила показать Вам ноутбук трансформер от Lenovo Yoga IdeaPad 900s 12ISK. Посмотрим основные характеристики и настройки.
Подробнее...
К нам в мастерскую Тардис попал ноутбук DELL Inspiron 3558 с целью его модернизации. Заказчик пожелал сделать так, что так чтобы он летал, в смысле ноутбук.
Задача эта для нас простая и интересная. В этом обзоре Вы узнаете как мы её решили....
Подробнее...