Lebih dari 65.000 router disalahgunakan oleh multi-tujuan Proxy Botnet

Computer Security News

Akamai keamanan peneliti melaporkan bahwa multi-tujuan proxy botnet telah terjerat lebih dari 65.000 router terkena via Universal Plug and Play (UPnP) protokol internet.

Para ahli menemukan bahwa perangkat rentan NAT suntikan memungkinkan hacker untuk menyalahgunakan mereka untuk berbagai keperluan seperti spam dan phishing, rekening pengambilalihan dan penipuan kartu kredit, klik penipuan, malware distribusi, didistribusikan penolakan Layanan (DDoS) serangan, melewati sensor, dll

Menurut Akamai, perangkat disuntikkan 65.000 adalah bagian dari satu set yang lebih besar lebih dari 4,8 juta perangkat rentan terhadap sederhana SSDP UDP (bagian UDP UPnP) pertanyaan.

Keamanan perusahaan mengklaim bahwa sekitar 765,000 perangkat juga ditemukan untuk mengekspos mereka rentan TCP implementasi.

Sebagian besar perangkat yang terkena dampak akan kelas konsumen hardware jaringan yang datang dari 73 merek / produsen. Sekitar 400 model tampaknya rentan, bagaimanapun, Akamai laporan mengungkapkan bahwa produsen dan perangkat lain juga dapat dipengaruhi oleh implementasi UPnP rentan.

Tujuan utama dari protokol UPnP adalah untuk memungkinkan lebih baik komunikasi antara perangkat pada sebuah LAN, namun, hal ini juga dikenal lama-rentan.

Sebenarnya, implementasi Cacat telah terkena untuk lebih dari satu dekade, dengan laporan 2013 mengungkapkan jutaan rentan perangkat di Internet.

Protokol UPnP memungkinkan untuk negosiasi otomatis dan konfigurasi Port opening/ forwarding dalam lingkungan jaringan NATed, yang berarti bahwa perangkat pada jaringan dapat membuka Port untuk mempercepat routing lalu lintas masuk dan keluar dari jaringan. Namun, beberapa layanan terkena hak istimewa dan dapat digunakan hanya oleh trusted perangkat pada sebuah LAN.

Di antara perangkat yang rentan adalah suntikan NAT berbahaya yang merupakan bagian dari kampanye terorganisir dan meluas penyalahgunaan. Fungsi utama dari suntikan-suntikan tersebut adalah untuk mengubah router menjadi proxy, yang membuat para ahli yang memanggil perangkat disuntikkan UPnProxy.

Entri NAT disuntikkan diciptakan untuk bekerja di set di berbagai perangkat. Untuk alasan itu, di seluruh perangkat terinfeksi 65.000, para peneliti menemukan alamat IP endpoint unik 17,599.

IP diidentifikasi sebagian disuntik biaya lebih dari 18,8 juta kali di 23,286 perangkat, sementara kedua-paling-disuntikkan IP muncul lebih dari 11 juta kali di seluruh perangkat 59,943.

Fungsi utama suntikan adalah untuk menunjuk ke beberapa layanan dan server di Internet dan kebanyakan dari mereka ditargetkan port TCP 53 (15.9M untuk DNS), 80 (9.5M untuk HTTP) dan 443 (155 K untuk HTTPS).

Menurut Akamai, multi-tujuan proxy botnet paling mungkin berhubungan dengan aktor ancaman kerangka awal yang pertama kali terkena pada tahun 2014. Geng cyber sebelumnya diamati penargetan Kedutaan, sektor energi dan pertahanan, organisasi dalam sektor keamanan, Aerospace, penelitian, dan Media Consultancy/.

Awal tahun ini, Symantec melaporkan bahwa kerangka awal terus beroperasi selama tahun, mengubah alat dan teknik.

Selain itu, Symantec berkata bahwa geng cyber adalah menyalahgunakan perangkat Internet of Things untuk bersembunyi di balik proxy, memanfaatkan protokol UPnP untuk membajak rentan router.


Leave a Reply

Your email address will not be published. Required fields are marked *