Gli hacker stanno aprendo le porte SMB sui router in modo da poter infettare i PC con malware NSA

  • Oct 21, 2023

Akamai afferma che sono già stati compromessi oltre 45.000 router.

linksys-ac3200-router-3249-007.jpg

Akamai ha rilevato un'ingegnosa campagna malware che altera le configurazioni di casa e piccoli uffici router per aprire connessioni verso reti interne in modo che i truffatori possano infettare precedentemente isolati computer.

Sicurezza

  • 8 abitudini dei lavoratori remoti altamente sicuri
  • Come trovare e rimuovere spyware dal telefono
  • I migliori servizi VPN: come si confrontano i primi 5?
  • Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo

Il modo in cui gli hacker raggiungono questo obiettivo, ha affermato Akamai, è tramite una tecnica nota come UPnProxy, utilizzata dall'azienda prima dettagliato nell'aprile di quest'anno.

La tecnica si basa sullo sfruttamento delle vulnerabilità dei servizi UPnP installati su alcuni router per alterare le tabelle NAT (Network Address Translation) del dispositivo.

Le tabelle NAT sono un insieme di regole che controllano il modo in cui gli IP e le porte della rete interna del router vengono mappati su un segmento di rete superiore, solitamente Internet.

Ad aprile, gli hacker utilizzavano questa tecnica per convertire i router in proxy per il normale traffico web, ma in un rapporto pubblicato oggi, Akamai afferma di aver visto una nuova variante di UPnProxy in cui alcuni hacker intelligenti stanno sfruttando i servizi UPnP per inserire regole speciali nel NAT dei router tavoli.

Queste regole funzionano ancora come reindirizzamenti (proxy), ma invece di inoltrare il traffico web per volere dell'hacker, consentono a un hacker esterno di connettersi al PMI porte (139, 445) di dispositivi e computer situati dietro il router, sulla rete interna.

Oltre 45.000 router già infettati

Gli esperti di Akamai affermano che dei 277.000 router con servizi UPnP vulnerabili esposti online, 45.113 sono già stati modificati in questa recente campagna.

I ricercatori affermano che un particolare hacker, o gruppo di hacker, ha trascorso settimane a creare una voce NAT personalizzata denominata "galleta silenciosa" ("cookie/cracker silenzioso" in spagnolo) su questi 45.000 router.

Akamai afferma di aver rilevato "milioni di iniezioni riuscite" durante le quali i truffatori si sono collegati attraverso queste porte a dispositivi oltre i router. Akamai stima il numero di questi dispositivi intorno a 1,7 milioni.

Akamai non può dire cosa abbiano fatto gli hacker, poiché non hanno visibilità all'interno di quelle reti. Ma l'azienda è abbastanza certa che queste "iniezioni" abbiano qualcosa a che fare con EternalBlue, uno dei malware sviluppati dagli Stati Uniti National Security Agency, trapelato online lo scorso anno, e il malware alla base dei ransomware WannaCry e NotPetya epidemie.

Inoltre, Akamai ritiene che gli hacker abbiano implementato EternalRed, una variante di EternalBlue che può infettare i sistemi Linux tramite Samba, l'implementazione del protocollo SMB per Linux.

Gli attacchi sono opportunistici, ma pericolosi

Ma ci sono buone notizie, poiché questa non sembra essere un'operazione di hacking orchestrata da uno stato nazionale con un obiettivo finale più grande in mente.

"Scansioni recenti suggeriscono che questi aggressori siano opportunisti", ha affermato Akamai. "L'obiettivo qui non è un attacco mirato. È un tentativo di sfruttare exploit collaudati e pronti all'uso, gettando un'ampia rete in uno stagno relativamente piccolo, nella speranza di raccogliere un pool di dispositivi precedentemente inaccessibili."

Nell'ultimo anno, EternalBlue è diventato lo strumento preferito dai gruppi di hacker coinvolti nel mining di criptovalute, e potrebbe anche essere proprio così.

Tuttavia, alle aziende che non vogliono che questi attacchi si trasformino in qualcosa di molto peggiore si consiglia di disabilitare il file Servizio UPnP sui loro router o acquista invece un router nuovo e più moderno, che non utilizzi un UPnP vulnerabile implementazione.

Akamai si riferisce a questa particolare campagna di hacking dei router come EternalSilence, un nome derivato dall'uso degli exploit EternalBlue e Silent Cookie, il nome delle voci dannose della tabella NAT. L'azienda ha inoltre pubblicato le istruzioni in calce il suo rapporto su come rimuovere le voci dannose della tabella NAT dai router interessati.

Copertura di sicurezza correlata:

  • La Germania propone linee guida sulla sicurezza dei router
  • La botnet IoT infetta 100.000 router per inviare spam tramite Hotmail, Outlook e Yahoo
  • Gli attacchi DDoS avanzati sono aumentati del 16% rispetto allo scorso annoTechRepublic
  • La nuova botnet DDoS prende di mira i server aziendali Hadoop
  • L'autore della botnet Satori di nuovo in prigione dopo aver violato le condizioni di rilascio preliminare
  • Quella botnet VPNFilter che l'FBI voleva che aiutassimo a uccidere? È ancora vivoCNET
  • L'FBI smantella un gigantesco schema di frode pubblicitaria che opera su oltre un milione di IP
  • Due botnet combattono per il controllo di migliaia di dispositivi Android non protetti