Более 65 000 роутеров проксируют трафик ботнетов и преступных групп
Более 65 000 роутеров проксируют трафик ботнетов и преступных групп
Более 65 000 роутеров проксируют трафик ботнетов и преступных групп
12.04.2018
Специалисты компании Akamai обнародовали отчет ( PDF), в котором сообщили, что операторы ботнетов и кибершпионские группировки активно используют роутеры и протокол Universal Plug and Play (UPnP) для проксирования вредоносного трафика. Таким образом преступники скрываются от внимания экспертов и правоохранительных органов, "путая следы". Эксперты пишут, что так уже используются более 65 000 устройства, а еще более 4,8 млн потенциально уязвимы. Подобную вредоносную активность аналитики назвали UPnProxy.
Хотя небезопасность протокола UPnP была доказана довольно давно, он по-прежнему широко применяется для универсальной автоматической настройки сетевых устройств как локально, так и удаленно. Исследователи объясняют, что злоумышленники находят роутеры с уязвимыми и неправильно настроенными службами UPnP, так как зачастую маршрутизаторы доступны через WAN-интерфейс, а значит, из интернета. Чаще всего речь идет о "слабых" паролях и использовании брутфорса.
Через UPnP злоумышленники модифицируют таблицы NAT (Network Address Translation) и создают кастомые правила, позволяющие обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.
Это позволяет использовать скомпрометированные устройства как в роли прокси-серверов, так и обойти файрвол, добравшись до локальных устройств, расположенных за роутером. Кроме того, с помощью UPnProxy атакующие могут получить доступ к панели управления маршрутизатором, которая в нормальных обстоятельствах не должна быть доступна. Однако комбинация порта и IP-адреса, как на скриншоте выше, позволяет злоумышленникам обратиться к "запретному" внутреннему IP.
Специалисты Akamai предупреждают, что различные UPnP-службы доступны через WAN более чем на 4,8 млн устройств. По данным компании, компрометации с помощью UPnProxy подверглись как минимум 65 000 роутеров, однако обнаруживать такие устройства крайне сложно: нужно изучать таблицы NAT и почти в каждом случае связываться с владельцем девайса.
Также исследователи Akamai цитируют своих коллег из Symantec, недавно обнаруживших вредоносную кампанию Inception Framework. По мнению экспертов, технику UPnProxy уже использует APT-группировка, ответственная за эту кампанию, и возможно, это правительственные хакеры
В конце своего отчета специалисты Akamai приводят длинный список потенциально уязвимых перед данным вектором атак производителей и конкретных моделей маршрутизаторов. В него вошли 73 вендора и более 400 устройств. При этом исследователи предупреждают, что в теории для устранения проблемы понадобятся немалые усилия со стороны производителей, которым придется разработать и выпустить прошивки, изменяющие настройки UPnP, чтобы уязвимые службы не обнаруживались через WAN. А в настоящее время эксперты Akamai советуют пользователям, нашедшим среди потенциально проблемных моделей свои устройства, сменить роутер на другую модель, которой нет в списке.
Для проверки роутеров был создан специальный bash-скрипт. К сожалению, он будет практически бесполезен для рядовых пользователей, которые вряд ли умеют подключаться к своим устройствам посредством SSH и запускать такие скрипты.
Copyright © 2018-2022, ООО "ГРОТЕК"