Исследователи рассказывают о вредоносной кампании Eternal Silence, которая использует Universal Plug and Play (UPnP), чтобы превращать маршрутизаторы в прокси-сервер, используемые для запуска различных атак и сокрытия местонахождения злоумышленников.
Эксперты компании Akamai объясняют, что UPnP – это еще одна технология, которая предлагает удобство в ущерб безопасности, особенно если имплементация UPnP потенциально уязвима для атак, в ходе которых хакеры могут добавлять записи переадресации UPnP-портов через открытое WAN-соединение.
Аналитики обнаружили хакеров, использующих эту уязвимость для создания прокси-серверов, и назвали атаку UPnProxy. Из 3 500 000 UPnP-маршрутизаторов, найденных экспертами в сети, 277 000 оказались уязвимы для UPnProxy, и 45 113 из них уже были заражены.
Согласно отчету, злоумышленники пытаются эксплуатировать проблемы EternalBlue (CVE-2017-0144) и EternalRed (CVE-2017-7494) в незащищенных системах Windows и Linux. Эксплуатация этих багов может привести к целому ряду проблем, включая заражение майнинговой малварью, разрушительные атаки «червей», которые быстро распространяются на целые сети, или предоставить хакерам доступ к корпоративным сетям.
Новые правила, создаваемые хакерами, содержат фразу «galleta silenciosa», что в переводе с испанского означает «тихие cookie» («silent cookie»). Такие инъекции пытаются раскрыть TCP-порты 139 и 445 на устройствах, подключенных к маршрутизатору (примерно 1 700 000 машин, на которых запущено SMB).
{"NewProtocol": "TCP", "NewInternalPort": "445", "NewInternalClient": "192.168.10.212",
"NewPortMappingDescription": "galleta silenciosa", "NewExternalPort": "47669"}
Исследователи отмечают, что об успехах данной кампании судить еще рано, но хакеры явно демонстрируют систематический подход к сканированию и ищут девайсы, которые используют статические порты и пути для своих демонов UPnP.
По мнению экспертов, Eternal Silence — очень коварная атака, которая делает сегментацию сети неэффективной и не дает понять, что происходит с жертвой. По сути, лучший способ определить, были ли устройства взломаны, — это просканировать все эндпоинты и проверить записи в таблице NAT. Для этих целей Akamai опубликовала специальный bash-скрипт.