Понад 65000 маршрутизатори зловживали багатоцільовий проксі Botnet

Computer Security News

Akamai безпеки дослідники повідомили, що багатоцільовий проксі botnet має що потрапив понад 65000 маршрутизатори, які схильні до Інтернету за допомогою універсального пристрою Plug and Play (UPnP) протокол.

Експерти знайшли, що уразливі пристрої мають NAT ін’єкції, що дозволяє хакерам зловживати ними для різних цілей, таких як спам і фішинг, рахунок поглинання та шахрайство з кредитними картами, натисніть шахрайства, розповсюдження шкідливого ПЗ, розподіленої відмови в обслуговуванні (DDoS) атак, оминаючи цензуру, т. д.

згідно Akamai, 65000 інжектіруемих пристроїв належать до більший набір більше 4.8 мільйонів пристроїв вразливою на прості запити UDP SSDP (UDP частину UPnP).

Безпека компанія стверджує, що приблизно 765,000 пристроїв були виявлені і піддавати їх уразливі TCP реалізацій.

Величезна частина вплив пристроїв є споживчого класу мережне устаткування, які приходять від 73 брендів / виробників. Близько 400 моделі, як видається, бути вразливим, однак, Akamai дослідження виявило, що інших виробників і пристроїв можуть впливати також вразливі реалізацій UPnP.

Головна мета протоколу UPnP дозволити покращення зв’язку між пристроями локальної мережі, однак, вона є також давно відомі бути уразливі.

Власне, недоліки реалізацій, піддавалися для більше десяти років, з 2013 року доповіді виявлення десятки мільйонів уразливі пристроїв в Інтернеті.

UPnP протоколу дозволяє автоматизованих переговорів і конфігурації порт opening/ переадресація в межах скоординований мереж середовищі, а це означає, що пристрої в цій мережі можна відкрити порти для прискорення маршрутизації трафіку в мережі і. Однак, деякі послуги, які піддаються привілей і може використовуватись лише надійні пристрої локальної мережі.

Серед уразливих пристроїв, зловмисних NAT ін’єкції, які є частиною зловживання організовані і широке поширення кампанію. Основна функція цих ін’єкції є перетворитися проксі, які зробили експерти називають інжектіруемих пристрої UPnProxy маршрутизатори.

Інжектіруемих NAT записи були створені, щоб працювати в наборах через різні пристрої. З цієї причини через 65000 заражених пристрої, дослідники виявили 17,599 унікальний кінцевої точки IP-адрес.

Більшість визначені IP вводять понад 18,8 мільйонів разів через 23,286 пристрої, а друге більшість вводять IP з’явилися більш ніж 11 мільйонів разів через 59,943 пристрої.

Основні функції ін’єкції є вказує на декількох послуг і серверів по всьому Інтернету і більшість з них цільових TCP-портів, 53 (15.9M для DNS), (9.5M для HTTP) 80 і 443 (155 К для HTTPS).

За словами Akamai багатоцільовий проксі botnet, швидше пов’язані Framework початок діяльності загрозу актор, який вперше зіткнувся в 2014 році. Кібер банди раніше спостерігалося орієнтації Посольства, енергії і оборони секторів, організацій в Consultancy/ секторах безпеки, аерокосмічна, дослідження та ЗМІ.

Раніше цього року, Symantec повідомив, що Framework початок діяльності продовжує діяти протягом останніх років, змінивши методи та інструменти.

Крім того, Symantec сказав, що кібер банди зловживає Інтернету речей пристроїв, щоб сховатися за проксі-сервери, використовуючи протокол UPnP викрадення уразливі маршрутизатори.


Leave a Reply

Your email address will not be published. Required fields are marked *