POZOR! Tieto routery známej značky zneužívajú hackeri na útoky. Medzi Slovákmi je táto značka nesmierne populárna!
Routery známej značky D-Link sú v ohrození. Hackeri ich zneužívajú na šírenie botnetov Ficora a Capsaicin. Dokážu napáchať veľké škody.
Bezpečnostní experti z fortinet.com odhalili nebezpečnú kampaň hackerov, ktorá sa môže vypomstiť vlastníkom routerov značky D-Link.
Ide konkrétne o dva botnety „Ficora“ a „Capsaicin“. Ak by si nevedel, čo je to botnet, tak ide o sieť kompromitovaných zariadení, známych ako „boty“ alebo „zombie zariadenia“, ktoré sú ovládané útočníkom bez vedomia ich majiteľov.
Pozor, tieto routery D-Link sú v ohrození
Treba ale podotknúť, že ide o staršie smerovače spoločnosti bez softvérovej podpory, ktoré hackeri zneužívajú. Ale aj napriek tomu, že ide o staršie zariadenia, tak svojho času boli nesmierne populárne a to aj u nás, pričom v mnohých domácnostiach sú ešte živými. Ide konkrétne o modely D-Link DIR-645, D-Link DIR-806, D-Link DIR-806D-Link GO-RT-AC750 a D-Link DIR-845L.
Hackeri konkrétne zneužívajú vo vysielačoch spoločnosti chyby známe ako CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 a CVE-2024-33112. Akonáhle hacker napadne jeden z routerov, tak zneužíva slabé miesto v rozhraní správy D-Link (HNAP / Home Network Administration Protocol), aby vykonal škodlivé príkazy prostredníctvom akcie GetDeviceSettings.
Tieto botnety sú nebezpečné preto, lebo dokážu pomerne dlhú dobu fungovať bez toho, aby si to majiteľ vysielača vôbec všimol. To znásobuje možné škody, ktoré môže hacker napáchať.
Neprehliadni
Čo Ficora a Capsaicin dokážu?
Botner Ficora po preniknutí do zariadenia používa shell skript s názvom „multi“, ktorý sťahuje a vykonáva škodlivý kód pomocou nástrojov ako wget, curl, ftpget, a tftp. Má zabudovaný komponent na brute force útoky s pevne zakódovanými prihlasovacími údajmi. Tento mechanizmus umožňuje Ficore infikovať ďalšie zariadenia v sieti s nedostatočne zabezpečenými administrátorskými účtami.
Capsaicin používa skript „bins.sh“, ktorý sťahuje škodlivé binárne súbory označené prefixom „yakuza“. Jednou z unikátnych vlastností Capsaicinu je schopnosť identifikovať a deaktivovať iné botnetové payloady, ktoré už bežia na rovnakom hostiteľovi. Táto vlastnosť mu zabezpečuje dominantnú pozíciu na infikovanom zariadení. Podobne ako Ficora, aj Capsaicin je navrhnutý na vykonávanie DDoS útokov.
Okrem iného Capsaicin dokáže zhromažďovať informácie o hostiteľovi, ako napríklad IP adresy, konfiguráciu zariadenia alebo údaje o operačnom systéme vrátane prihlasovacích údajov či hesiel do rôznych služieb. Na druhej strane Ficora údaje o hostiteľovi nezbiera. Ficora sa primárne zameriava na šírenie škodlivých aktivít a DDoS útoky, a nie na exfiltráciu údajov.
Treba ale podotknúť, že útočník, ktorý ovláda tieto botnety, môže tvoj počítač zneužiť na útoky na webové stránky alebo iné počítače, ktoré sú pripojené do infikovanej siete. Znamená to, že aj keď ty sám nič zlé nerobíš, tvoj počítač sa stáva nástrojom na škodlivé aktivity.
Komentáre