Hackerii rău intenționați exploatează în mod grav o vulnerabilitate critică a routerelor D-Link DSL, în încercarea de a le face parte din Satori, un botnet puternic de tip IoT, care este folosit pentru a prelua controlul site-urilor și a mina cryptomonede, conform cercetătorilor.
De la debutul său la sfârșitul anului trecut, Satori s-a dovedit a fi un botnet deosebit de versatil și sofisticat. Acesta a devenit renumit în decembrie, când a infectat peste 100.000 de dispozitive conectate la Internet în doar 12 ore prin exploatarea vulnerabilităților de executare la distanță a codurilor în routerele Huawei și RealTek. O lună mai târziu, operatorii Satori au lansat o nouă versiune care mina cryptomonede pe dispozitivele infectate, dovedind că botnet-ul IoT este capabil de a prelua controlul și unor dispozitive de calcul mai tradiționale. În februarie, Satori a reapărut atunci când a infectat zeci de mii de routere fabricate de Dasan Networks.
O cheie a succesului Satori este folosirea codului sursă al botnetului IoT Mirai lansat public, pentru a transforma dispozitivele cu parole ușor de ghicit în platforme pentru lansarea atacurilor pe Internet. În 2016, Mirai a lansat o serie de atacuri de tip „denial-of-service” care au închis site-ul de securitate KrebsonSecurity și au vizat, de asemenea, gameri online. Operatorii Satori utilizează codul Mirai ca fundație pe care au creat o serie de noi exploit-uri care permit botnetului să controleze dispozitive chiar și atunci când sunt protejate cu parole puternice.
În ultimele cinci zile, cercetătorii spun că Satori a început să exploateze în mod masiv o vulnerabilitate critică în D-Link DSL 2750B, o combinație dintre un router și un modem DSL utilizat de abonații Verizon și alți furnizori de servicii de Internet. Codul de atac care a exploatat vulnerabilitatea la distanță veche de doi ani a fost publicat luna trecută, deși încărcătura personalizată a lui Satori are o structură de vierme. Aceasta înseamnă că infecțiile se pot răspândi de la un dispozitiv la altul, fără a fi necesară o interacțiune cu utilizatorul final. Site-ul D-Link nu prezintă un patch disponibil pentru această vulnerabilitate, iar reprezentanții D-Link nu au răspuns la comentarii.
Cercetătorii de la Netlab 360 au raportat mai întâi că Satori exploata vulnerabilitatea D-Link într-un articol publicat vineri. De asemenea, au spus că Satori a început să exploateze o vulnerabilitate într-un router făcut de XiongMai. Marți, cercetătorii de la Radware au raportat o „creștere exponențială a numărului de surse de atac” pentru atacurile pe dispozitivele D-Link și XiongMai.
„Echipa Radware de cercetare a amenințărilor a asistat la mii de IP-uri care încearcă să infecteze la o rată ridicată folosind o sarcină nemaivăzută până acum„, au scris cercetătorii într-un post pe blog. Atacul, vizând routerele D-Link, îi determină să trimită o comandă wget care descarcă un script la distanță găzduit pe un server web la 185.62.190.191. Statele Unite au reprezentat cea de-a patra țară afectată, după Brazilia, Coreea și Italia.
Radware a declarat că vulnerabilitatea a fost dezvăluită cel mai târziu în 2016. Această pagină de pe site-ul D-Link arată că cea mai recentă versiune firmware a dispozitivului a fost lansată în 2015.
Exploatările vin la o lună după ce cercetătorii au dezvăluit existența unui program malware dezvoltat de spioni ruși care a infectat mai mult de 500.000 de routere de la o varietate de producători. Cunoscut sub numele de VPNFilter, nu se bănuiește a fi vreo legătură între acest malware și Satori. Nici D-Link DSL-2750B, nici dispozitivul XiongMai nu este inclus pe lista routerelor despre care se știe că este vizată de VPNFilter.
Nu se știe încă exact ce pot face oamenii cu un dispozitiv D-Link pentru a se proteja de aceste atacuri. Până vor apărea mai multe informații oficiale, cei care utilizează unul ar trebui să ia în considerare înlocuirea acestuia.
