Το FBI προειδοποιεί ότι οι ηθοποιοί απειλών αναπτύσσουν κακόβουλο λογισμικό σε δρομολογητές στο τέλος του κύκλου ζωής (EOL) για να τους μετατρέψουν σε πληρεξούσια που πωλούνται στα 5socks και τα anyproxy δίκτυα.
Αυτές οι συσκευές, οι οποίες απελευθερώθηκαν πολλά χρόνια πίσω και δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας από τους πωλητές τους, είναι ευάλωτες σε εξωτερικές επιθέσεις που αξιοποιούν τις διαθέσιμες στο κοινό εκμεταλλεύσεις για την έγχυση επίμονων κακόβουλων λογισμικών.
Μόλις συμβιβαστούν, προστίθενται σε οικιστικά botnets πληρεξούσιων που δρομολογούν την κακή κυκλοφορία. Σε πολλές περιπτώσεις, αυτοί οι πληρεξούσιοι χρησιμοποιούνται από τους εγκληματίες στον κυβερνοχώρο για τη διεξαγωγή κακόβουλων δραστηριοτήτων ή των κυβερνοεπικοινωνιών.
“Με το δίκτυο 5Socks και AnyProxy, οι εγκληματίες πωλούν πρόσβαση σε συμβιβασμένους δρομολογητές ως πληρεξούσια για τους πελάτες να αγοράζουν και να χρησιμοποιούν”. εξηγεί τη συμβουλευτική FLAST FBI.
“Οι πληρεξούσιοι μπορούν να χρησιμοποιηθούν από τους ηθοποιούς απειλής για να παραβιάσουν την ταυτότητα ή την τοποθεσία τους.”
Η συμβουλευτική απαριθμεί τα ακόλουθα μοντέλα EOL Linksys και Cisco ως κοινές στόχοι:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
Το FBI προειδοποιεί ότι οι κινεζικοί κρατικοί φορείς έχουν εκμεταλλευτεί γνωστά τρωτά σημεία (N-Day) σε αυτούς τους δρομολογητές για να διεξάγουν συγκεκαλυμμένες εκστρατείες κατασκοπείας, συμπεριλαμβανομένων των επιχειρήσεων που στοχεύουν στην κρίσιμη υποδομή των ΗΠΑ.
Σε ένα σχετικό δελτίοο οργανισμός επιβεβαιώνει ότι πολλοί από αυτούς τους δρομολογητές μολύνονται με μια παραλλαγή του κακόβουλου λογισμικού “themoon”, το οποίο επιτρέπει στους ηθοποιούς απειλής να τους διαμορφώσουν ως πληρεξούσια.
“Οι δρομολογητές τέλος της ζωής παραβιάστηκαν από τους κυβερνοχώρους που χρησιμοποιούν παραλλαγές του Botnet Malware”, αναφέρει το Δελτίο του FBI.
“Πρόσφατα, ορισμένοι δρομολογητές στο τέλος της ζωής, με ενεργοποιημένη απομακρυσμένη διοίκηση, αναγνωρίστηκαν ως διακυβευμένοι από μια νέα παραλλαγή του Malware Malware.
Μόλις συμβιβαστούν, οι δρομολογητές συνδέονται με διακομιστές εντολών και ελέγχου (C2) για να λαμβάνουν εντολές για εκτέλεση, όπως σάρωση και συμβιβασμούς ευάλωτων συσκευών στο Διαδίκτυο.
Το FBI αναφέρει ότι οι πληρεξούσιοι χρησιμοποιούνται στη συνέχεια για να αποφύγουν την ανίχνευση κατά τη διάρκεια της κλοπής κρυπτογράφησης, στις δραστηριότητες του εγκλήματος για το έγκλημα του κυβερνοχώρου και σε άλλες παράνομες επιχειρήσεις.
Τα κοινά σημάδια συμβιβασμού από ένα botnet περιλαμβάνουν διαταραχές συνδεσιμότητας δικτύου, υπερθέρμανση, υποβάθμιση απόδοσης, αλλαγές διαμόρφωσης, εμφάνιση χρηστών Rogue Admin και ασυνήθιστη κυκλοφορία δικτύου.
Ο καλύτερος τρόπος για να μετριαστεί ο κίνδυνος λοιμώξεων botnet είναι να αντικατασταθούν οι δρομολογητές στο τέλος του κύκλου ζωής με νεότερα, ενεργά υποστηριζόμενα μοντέλα.
Εάν αυτό είναι αδύνατο, εφαρμόστε την τελευταία ενημέρωση υλικολογισμικού για το μοντέλο σας, προέρχεται από την επίσημη πύλη λήψης του πωλητή, αλλάξτε τα προεπιλεγμένα διαπιστευτήρια λογαριασμού διαχειριστή και απενεργοποιήστε τα πλαίσια απομακρυσμένης διαχείρισης.
Το FBI έχει μοιραστεί δείκτες συμβιβασμού που σχετίζεται με το κακόβουλο λογισμικό που είναι εγκατεστημένο σε συσκευές EOL.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
