Специалисты компании Akamai раскрыли новую, идущую с ноября вредоносную кампанию EternalSilence, направленную на массовую компрометацию роутеров. Необычность атаки в том, что злоумышленники целенаправленно открывают SMB-порты роутеров, чтобы добраться до устройств, расположенных за ними.
Исследователи пишут, что преступники эксплуатируют технику ботнета UPnProxy, о которой впервые стало известно в апреле 2018 года. Данный метод подразумевает эксплуатацию уязвимых UPnP-сервисов и последующую модификацию таблиц NAT (Network Address Translation). Но в этот раз атакующие модифицируют таблицы NAT таким образом, чтобы извне подключиться к SMB портам (139, 445) и устройствам, расположенным за роутером.
Эксперты предполагают, что далее авторы атаки пускают в ход похищенный у АНБ эксплойт — EternalBlue или EternalRed. Последний ориентирован на Linux-системы и нацелен на уязвимость CVE-2017-7494, получившую известность как SambaCry.
По данным исследователей (скорее всего через Shodan) перед подобными атаками уязвимы порядка 277 000 роутеров, и 45 113 из них уже подверглись компрометации и были помечены записью «galleta silenciosa». (исп. «тихий куки», то есть устанавливаемый без уведомления). Число пострадавших девайсов оценивается примерно в 1,7 млн.
Напомним, используемый мошенниками эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. В частности, он использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе атак малвари NotPetya.
Читайте также другие материалы АКБ:
Новый загадочный ботнет собирает сотни тысяч роутеров, дергая за старые нити
В одном из популярнейших в мире роутеров TP-Link нашли 0-day уязвимости
Это касается каждого: 83% роутеров взламываются по щелчку пальца