NEWSSecuritateTECH

Routerele D-Link au fost atacate în masă de un botnet IoT

Hackerii rău intenționați exploatează în mod grav o vulnerabilitate critică a routerelor D-Link DSL, în încercarea de a le face parte din Satori, un botnet puternic de tip IoT, care este folosit pentru a prelua controlul site-urilor și a mina cryptomonede, conform cercetătorilor.

De la debutul său la sfârșitul anului trecut, Satori s-a dovedit a fi un botnet deosebit de versatil și sofisticat. Acesta a devenit renumit în decembrie, când a infectat peste 100.000 de dispozitive conectate la Internet în doar 12 ore prin exploatarea vulnerabilităților de executare la distanță a codurilor în routerele Huawei și RealTek. O lună mai târziu, operatorii Satori au lansat o nouă versiune care mina cryptomonede pe dispozitivele infectate, dovedind că botnet-ul IoT este capabil de a prelua controlul și unor dispozitive de calcul mai tradiționale. În februarie, Satori a reapărut atunci când a infectat zeci de mii de routere fabricate de Dasan Networks.

O cheie a succesului Satori este folosirea codului sursă al botnetului IoT Mirai lansat public, pentru a transforma dispozitivele cu parole ușor de ghicit în platforme pentru lansarea atacurilor pe Internet. În 2016, Mirai a lansat o serie de atacuri de tip „denial-of-service” care au închis site-ul de securitate KrebsonSecurity și au vizat, de asemenea, gameri online. Operatorii Satori utilizează codul Mirai ca fundație pe care au creat o serie de noi exploit-uri care permit botnetului să controleze dispozitive chiar și atunci când sunt protejate cu parole puternice.

În ultimele cinci zile, cercetătorii spun că Satori a început să exploateze în mod masiv o vulnerabilitate critică în D-Link DSL 2750B, o combinație dintre un router și un modem DSL utilizat de abonații Verizon și alți furnizori de servicii de Internet. Codul de atac care a exploatat vulnerabilitatea la distanță veche de doi ani a fost publicat luna trecută, deși încărcătura personalizată a lui Satori are o structură de vierme. Aceasta înseamnă că infecțiile se pot răspândi de la un dispozitiv la altul, fără a fi necesară o interacțiune cu utilizatorul final. Site-ul D-Link nu prezintă un patch disponibil pentru această vulnerabilitate, iar reprezentanții D-Link nu au răspuns la comentarii.

Cercetătorii de la Netlab 360 au raportat mai întâi că Satori exploata vulnerabilitatea D-Link într-un articol publicat vineri. De asemenea, au spus că Satori a început să exploateze o vulnerabilitate într-un router făcut de XiongMai. Marți, cercetătorii de la Radware au raportat o „creștere exponențială a numărului de surse de atac” pentru atacurile pe dispozitivele D-Link și XiongMai.

Echipa Radware de cercetare a amenințărilor a asistat la mii de IP-uri care încearcă să infecteze la o rată ridicată folosind o sarcină nemaivăzută până acum„, au scris cercetătorii într-un post pe blog. Atacul, vizând routerele D-Link, îi determină să trimită o comandă wget care descarcă un script la distanță găzduit pe un server web la 185.62.190.191. Statele Unite au reprezentat cea de-a patra țară afectată, după Brazilia, Coreea și Italia.

Radware a declarat că vulnerabilitatea a fost dezvăluită cel mai târziu în 2016. Această pagină de pe site-ul D-Link arată că cea mai recentă versiune firmware a dispozitivului a fost lansată în 2015.

Exploatările vin la o lună după ce cercetătorii au dezvăluit existența unui program malware dezvoltat de spioni ruși care a infectat mai mult de 500.000 de routere de la o varietate de producători. Cunoscut sub numele de VPNFilter, nu se bănuiește a fi vreo legătură între acest malware și Satori. Nici D-Link DSL-2750B, nici dispozitivul XiongMai nu este inclus pe lista routerelor despre care se știe că este vizată de VPNFilter.

Nu se știe încă exact ce pot face oamenii cu un dispozitiv D-Link pentru a se proteja de aceste atacuri. Până vor apărea mai multe informații oficiale, cei care utilizează unul ar trebui să ia în considerare înlocuirea acestuia.

Sursa

Tags

Mihai Ginghină

Redactor Știri

Related Articles

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Back to top button
Close