Malvér TheMoon infikoval tisíce routerov známej značky. Ak máte router od tohto výrobcu, nepodceňujte situáciu!
Bezpečnostní experti zaznamenali masívnu kampaň, ktorá sa zameriava na routere v domácnostiach a malých firmách.
Bezpečnostní experti z Lumen Technologies identifikovali hackerskú kampaň, ktorá pretrváva už niekoľko rokov. V rámci nej sa hackeri zameriavajú na routery a rôzne smart produkty, ktorým už končí životnosť.
Mnohí si to možno neuvedomia, no aj Wi-Fi router dostáva pravidelné technické a bezpečnostné aktualizácie. Tieto updaty môžu zlepšiť signál, rýchlosť pripojenia alebo zabezpečiť rôzne bezpečnostné slabiny. Podobne ako napríklad u smartfónov, aj routery majú svoju životnosť, za ktorou už nedostávajú bezpečnostné aktualizácie.
V tomto smere ide o veľké riziko, pretože bez dodatočných aktualizácií môžu hackeri slobodne využívať hocijakú bezpečnostnú medzeru, ktorú sa im podarilo odhaliť. Znamená to, že sa stávate zaujímavým cieľom pre hackerov.
Pozor, táto značka routerov zaznamenala nárast infekcií
Bezpečnostní experti odhalili útoky, ktoré sa zameriavajú práve na routery, ktorým skončila alebo končí životnosť. Tie napádajú aktualizovaným malvérom “TheMoon”. Po prvýkrát sa tento malvér objavil ešte v roku 2014 a odvtedy pracoval v tichosti a rástol na takmer 40-tisíc botov z 88 krajín sveta. Za novou kampaňou stojí s najväčšou pravdepodobnosťou známa kyberzločinecká skupina Faceless. Ide o jednu z škodlivých proxy a botnet služieb, ktorá rastie tempom takmer 7-tisíc užívateľov za týždeň.
Čo sa týka aktuálnej kampane hackerov, tak len za 72 hodín infikovali viac ako 6-tisíc routerov značky ASUS, odhaľujú experti na bezpečnosť. Ak máte router tejto značky a zaevidovali ste nejaké problémy s internetom, tak to nepodceňujte.
Neprehliadnite
Čo sa deje po infekcii?
Útoky prebiehajú tak, že operátori za Faceless napádajú staré zariadenia s končiacou životnosťou a pripájajú ich do vybudovanej proxy služby s rovnakým názvom. Faceless je jednou z najznámejších a najrizikovejších proxy služieb na internete. Bezpečnostní experti vysvetľujú, že Faceless vznikla z popola služby iSocks. Tá poskytovala anonymitu na internete a stala sa základom pre väčšinu kyberzločincov.
Čo sa týka samotného malvéru TheMoon, ten napáda zastarané routre a pripája ich k proxy službe Faceless. Bezpečnostní analytici si všímajú, že tento malvér v drvivej väčšine prípadov inklinuje k tejto službe. Domnievajú sa, že malvér TheMoon je jediným dodávateľom botov pre proxy službu Faceless.
Zaujímavé je, že približne 30% napadnutých routerov bolo v sieti Faceless zapojených viac ako 50 dní a približne 15% routerov len 48 hodín alebo menej. Väčšina zariadení vydržala infikovaná približne 23 dní.
Faceless sieť vytvára “armádu” infikovaných routerov. Tie útočníkom dávajú možnosť obísť niektoré štandardné bezpečnostné nástroje. Ide hlavne o tie, ktoré sa zakladajú na geolokácii. Vo väčšine prípadov útočníci používajúci tieto infikované routery ako proxy zameriavajú svoju kriminálnu činnosť na kradnutie dát alebo hádanie hesiel.
Bezpečnostní experti vysvetľujú, že používanie infikovaných osobných routerov ako proxy pre kriminálnu činnosť nie je nič nové, no v poslednom období ide o prudko rastúci trend. Policajné zložky a rôzne bezpečnostné organizácie venujú zvýšenú pozornosť kyberkriminalite, čo vedie zločincov k uplatňovaniu nových metód, ako sa vyhnúť odhaleniu.
Užívatelia by mali dbať na pravidelné reštartovanie routerov a inštalovanie bezpečnostných aktualizácií. Pre tých, ktorí používajú staré routery sa odporúča vymeniť si ho za novší model.
Komentáre