نفوذگران از ابزارهای نفوذ NSA برای ساخت بات‌نت استفاده می‌کنند!

 

به گزارش شرکت اینترنتی آکامای (Akamai)، بیش از ۲۷۰هزار دستگاه متصل به اینترنت که سرویس آسیب‌پذیر UPnP را اجرا می‌کنند، برای تبدیل شدن به بخشی از یک بات‌نت چندمنظوره آسیب‌پذیر هستند. این بات‌نت که UPnProxy نام دارد، برای اولین بار در ماه آوریل سال جاری و زمانی‌که حدود  ۶۵هزار دستگاه را آلوده کرد، منتشر شد. در حال حاضر و در دنیای واقعی، بیش از ۴۵هزار دستگاه آسیب‌دیده در پویش تزریق NAT UPnP وجود دارد. پروتکل UPnP که به‌‌منظور برقراری ارتباط بهتر میان دستگاه‌های یک شبکه‌ی داخلی (LAN) طراحی شده است، برای بیش از یک دهه آسیب‌پذیر بوده است. پیاده‌سازی‌های آسیب‌پذیر ممکن است خدمات دارای امتیاز و به‌عبارتی خدماتی را که تنها توسط دستگاه‌های قابل‌اطمینان در یک شبکه‌ی محلی مورد استفاده قرار می‌گیرند، در معرض افشاء قرار دهد.


به گفته‌ی شرکت آکامای، ۳٫۵ میلیون دستگاه آسیب‌پذیر در سراسر جهان وجود دارد که ۲۷۷هزار مورد از آن‌ها نسبت به بات‌نت UPnProxy آسیب‌پذیر هستند. این بات‌نت تاکنون حداقل ۴۵هزار دستگاه را آلوده کرده است، اما مهاجمان همچنان به دنبال یافتن دستگاه‌های بیشتر برای به خطر انداختن هستند. محققان امنیتی آکامای همچنین از پویش تزریق جدیدی خبر می‌دهند که اخیرا کشف شده است. محققان امنیتی پیش از این اشاره کرده بودند که مهاجمان می‌توانند از بات‌نت UPnProxy برای بهره‌برداری از سیستم‌ مسیریاب‌های آسیب‌دیده استفاده کنند، و اکنون به‌نظر می‌رسد که این اتفاق رخ داده است. آکامای می‌گوید: «برای کاربران خانگی، این حملات می‌تواند منجر به خطراتی مانند خدمات آسیب‌دیده، آلودگی‌های بدافزاری، باج‌افزارها و کلاهبرداری شود. اما برای کاربران تجاری، این تحولات اخیر به معنای سیستم‌هایی است که در وهله‌ی اول هرگز نباید بر روی اینترنت وجود داشته باشند، اما در حال حاضر به‌صورت ناخودآگاه موجود هستند و شانس زیادی برای آسیب‌پذیری دارند.»


محققان امنیتی همچنین توضیح می‌دهند که خدمات افشاشده در این پویش، سابقه‌ی بهره‌برداری در پویش‌های حمله به بسترهای ویندوز و لینوکس، پورت‌های TCP شماره ۱۳۹ و ۴۴۵ را دارند. این پویش که شرکت آکامای از آن به‌عنوان EternalSilence یاد می‌کند، ظاهرا به‌دنبال به خطر انداختن میلیون‌ها دستگاه پشت مسیریاب‌های آسیب‌پذیر با بهره‌برداری از آسیب‌پذیری‌های اترنال‌بلو (CVE-2017-0144) و اترنال‌رد (CVE-2017-7494) است. خانواده‌ی جدید تزریق‌ها در تاریخ ۷ نوامبر کشف شد، اما محققان می‌گویند که آن‌ها نمی‌توانند بارداده‌های نهایی را مشاهده کنند، بنابراین نمی‌توانند بگویند که پس از آسیب دیدن دستگاه چه اتفاقی می‌افتد. با این حال، سناریوهای حمله‌ی احتمالی شامل باج‌افزار، درب‌های پشتی و انواع دیگر بدافزارها می‌باشد.


به گفته‌ی محققان این حملات ظاهرا رفتار فرصت‌طلبانه دارند. مهاجم احتمالا تمام اینترنت را برای یافتن پروتکل SSDP پویش کرده و به دیمون‌های UPnP TCP متصل می‌شود و یا مجموعه‌ای از دستگاه‌هایی را که از پورت‌های استاتیک (TCP/2048) و مسیرهای (/etc/linuxigd/gatedesc.xml) برای دیمون‌های UPnP خود استفاده می‌کنند، مورد هدف قرار می‌دهد. این روش اضطراری تزریق کورکورانه‌ی پورت SMB ممکن است جواب دهد، زیرا ممکن است دستگاه‌هایی وجود داشته باشند که به‌دلیل اینکه به‌صورت مستقیم و اینترنتی در معرض افشاء قرار ندارند، اما در پشت پروتکل NAT مخفی هستند، در مرحله‌ی اول حملات اترنال‌بلو و اترنال‌رد تحت تأثیر قرار نگیرند. حملات بات‌نت EternalSilence محافظت‌های پروتکل NAT را حذف کرده و دستگاه‌ها را در معرض بهره‌برداری‌های قدیمی قرار می‌دهد.
 

منبع

پست‌های مشابه

Leave a Comment