Botnet Goldoon útočí na známe routery cez takmer 10-ročnú slabinu, varujú bezpečnostní experti
Bezpečnostní experti si počas apríla všimli takmer dvojnásobný nárast útokov.
Bezpečnostní experti z FortiGuard pozorovali novú hackerskú kampaň, ktorá sa zameriavala na D-Link bezpečnostnú slabinu. Zaujímavosťou je, že táto slabina je už takmer desať rokov stará.
Cez túto slabinu dokážu hackeri na diaľku spustiť príkazy cez akciu GetDeviceSettings v rozhraní HNAP. Výsledkom zneužitia je schopnosť hackerov vytvoriť HTTP požiadavku so škodlivým príkazom zabudovaným v nej. Bezpečnostní experti si všimli, že hackeri sa pokúšajú cez túto slabinu distribuovať botnet Goldoon.
Ak hackeri napadnú cielené zariadenie, získavajú kompletnú kontrolu a môžu vytiahnuť zo zariadenia systémové informácie alebo založiť komunikáciu s hackerským C2 serverom. Toto zariadenie môžu neskôr využiť na ďalšie hackerské útoky, napríklad cielený DDoS útok.
Bezpečnostní analytici pozorovali, že aktivita tohto botnetu výrazne stúpla v apríli na takmer dvojnásobok.
Útok prebieha tak, že hackeri cez slabinu CVE-2015-2051 stiahnu dropper zo svojho servera. Ide o skript, ktorý dokáže automaticky sťahovať, spúšťať a prípadne aj vyčistiť rôzne škodlivé súbory. Malvér útočí hlavne na operačný systém Linux. Po stiahnutí škodlivých súborov sa malvér Goldoon aktivuje okamžite.
Neprehliadnite
Bezpečnostných expertov prekvapilo, že keď sa pokúsili otvoriť súbor Uniform Resource Identifier pomocou webového prehliadača, zobrazila sa im zaujímavá chybová hláška.
“Objavila sa chyba. Prepáčte, ste FBI agent a my vám nemôžeme pomôcť. Choďte preč, inak vás zabijem,” píše sa v chybovej hláške.
Rizikový malvér
Keď sa malvér Goldoon dostáva do zariadenia, spočiatku spúšťa všetky potrebné argumenty. Následne nastaví automatické spúšťanie, aby sa vedel v zariadení obete udržať. V treťom kroku nadväzuje spojenie s C2 servermi a potom čaká na príkazy zo servera, aby mohol vykonať zadané kroky.
Goldoon dokáže vykonať niekoľko verzii DoS útokov (pozn. DoS útok je realizovaný pomocou jedného zdroja, ktorý sa snaží preťažiť cieľový systém alebo sieť na rozdiel od DDoS, kde útočí viacero zdrojov) vrátane toho, ktorý sa vykonáva cez populárnu hru Minecraft.
Bezpečnostní experti vysvetľujú, že slabina CVE-015-2051 nie je novou slabinou a útočníkom ponúka len malú komplexnosť útoku. Predstavuje ale kritickú bezpečnostnú medzeru, ktorá dovoľuje útočníkom aktivovať škodlivý kód na diaľku. Keď sa hackerom podarí napadnúť zariadenie obete, toto zariadenie môžu pripojiť do svojho botnetu. Z neho následne vykonávajú DoS a DDoS útoky. Bezpečnostní experti opäť prízvukujú, že bezpečnostné aktualizácie sú mimoriadne dôležitou súčasťou kyberbezpečnosti.
„Ak dôjde k ohrozeniu cieľového zariadenia, útočníci môžu získať úplnú kontrolu, čo im umožní extrahovať systémové informácie, nadviazať komunikáciu so serverom C2 a potom použiť tieto zariadenia na spustenie ďalších útokov, ako je napríklad distribuované odmietnutie služby (DDoS), “ povedali výskumníci Fortinet FortiGuard Labs Cara Lin a Vincent Li.
Mnohí aktualizácie odkladáme, pretože sú otravné a radšej by sme sa venovali dôležitejším veciam. Pár minút vám ale neuškodí a počítač alebo smartfón si môžete nechať aktualizovať na konci dňa. Inštaláciou najnovších bezpečnostných aktualizácií drasticky znižujete riziko, že sa stanete terčom podobných, ale aj závažnejších útokov.
Neuškodí ani kvalitný antivírový program. Existuje množstvo platených aj bezplatných možností, no mnohí majú v zariadení viac než postačujúci antivírový softvér, hoci o ňom buď nevedia alebo ho doteraz podceňovali.
Komentáre