POZOR! Máš doma router tejto značky? Aj ty sa môžeš nevedomky stať súčasťou masívnej spamovej malvérovej kampane!
Bezpečnostní experti pozorovali spamový útok, za ktorým stojí masívny ruský botnet.
Bezpečnostní analytici z Infoblox varujú pred prebiehajúcou malvér kampaňou, za ktorou stojí ruský botnet. Botnet je hackerská sieť, ktorá pozostáva z napadnutých zariadení, v tomto prípade ide o globálnu sieť Mikrotik routerov, cez ktoré hackeri posielajú škodlivé emaily maskované za legitímne domény.
Hackeri prostredníctvom týchto mailov doručujú užívateľom trójskeho koňa do zariadení, no bezpečnostní experti nevylučujú ani to, že hackeri tento botnet využívajú na rôzne kybernetické útoky. Ako sme spomenuli, súčasťou tohto botnetu sú routery značky Mikrotik. Tie sa predávajú po celom svete, vrátane Slovenska.
Botnety, siete infikovaných počítačov ovládaných kybernetickými zločincami, sprevádzajú internet takmer od jeho počiatkov a neustále sa zdokonaľujú. Ide o rozsiahle siete kompromitovaných zariadení, ktoré útočníci na diaľku zneužívajú na hromadné škodlivé aktivity, od rozosielania nevyžiadanej pošty až po útoky typu DDoS, ktoré paralyzujú webové stránky zahltením prevádzkou.
Rozptýlená povaha botnetov sťažuje ich odhalenie a znefunkčnenie a zároveň útočníkom poskytuje anonymitu. Útok prichádzajúci z tisícok rôznych zdrojov, ako je to v prípade botnetu, predstavuje pre obrancov oveľa väčšiu výzvu než útok z jedinej IP adresy, ktorú je možné jednoducho zablokovať.
Medzi najčastejšie využitia botnetov patrí DDoS útok, alebo Distributed Denial of Service. Tieto útoky sa využívajú na preťaženie siete, napríklad leteckej spoločnosti, banky, alebo vládneho serveru. Čím viac zariadení sa v botnete nachádza, tým je DDoS útok efektívnejší. Funguje tak, že na server portálu posiela obrovské množstvo požiadaviek. Server ich nestíha všetky plniť a nakoniec sa preťaží a spadne.
Neprehliadni
Hackeri ale môžu botnety využívať aj na spamové alebo phishingové kampane. Obrovské množstvo infikovaných zariadení v botnete dáva hackerom možnosť posielať naozaj obrovské množstvo spamových alebo škodlivých mailov.
Botnety ale môžu hackerom uľahčiť aj prelamovanie účtov. Množstvo infikovaných zariadení môže vyskúšať viac kombinácií používateľských mien a hesiel, čo vedie k rýchlejšiemu prelomeniu účtu.
Ako prebieha nová botnet kampaň?
Bezpečnostní analytici monitorujú prebiehajúcu malvérovú kampaň, ktorá sa šíri cez spamové maily. Táto kampaň začala minulý november a pretrváva do dnešného dňa. Začína sa škodlivým mailom, ktorý obsahuje jednu z dvoch príloh. Prvou môže byť príloha s názvom Invoice(číslo).zip alebo Tracking(čislo).zip. Z oboch názvov môžeme vidieť, že sa hackeri snažia napodobňovať dopravnú spoločnosť. V tomto prípade sa vydávajú za spoločnosť DHL.
“Vážený zákazník, pripravili sme pre Vás faktúru pre prepravu Vášho balíka. Prosíme, aby ste našli priložený súbor, v ktorom nájdete všetky potrebné informácie ohľadom platby. Aby ste sa vyhli pozdržaniu doručovacieho procesu, prosíme o čo najskoršiu platbu. V prípade akýchkoľvek otázok nás neváhajte kontaktovať. Prajeme všetko dobré, DHL Express,” píše sa v podvodnom maily.
V ZIP súbore sa nachádza dobre ukrytý JavaScript kód. Ten vytvára a spúšťa PowerShell skript a nadväzuje spojenie s hackerským command and control serverom. IP adresa spojená s útokom má históriu a viaže sa na ruskú aktivitu.
Hackeri zneužívajú mená obrovského množstva spoločností. Hlbšia analýza útokov odhalila, že ruský botnet, ktorý hrá pri tomto útoku hlavnú úlohu, pozostáva z viac ako 13-tisíc Mikrotik routerov. Opäť pripomíname, že ide o značku, ktorá je dostupnou aj u nás. Znamená to, že aj tvoj router sa potenciálne môže stať súčasťou tejto botnet siete.
Bezpečnostní experti už v minulosti identifikovali niekoľko kritických slabín, ktoré postihujú Mikrotik routery. Nie vždy mali možnosť zistiť verziu firmwaru, no podľa analýzy slabinami trpí viacero verzií. Odporúčame preto pozrieť sa po bezpečnejších routeroch, ak máš doma zariadenie od Mikrotiku. Ako hovoria bezpečnostní analytici, tento ruský botnet sa stále rozširuje.
Komentáre