8.11.2018 16:30 | Bezpečnosť

Pozor na nový botnet. Infikovaných je už minimálne 100-tisíc domácich routerov

Narušili botnet Gamarue. Obete infikoval od roku 2011. ilustračná snímka.
Efektívnou ochranou je pravidelná aktualizácia firmvéru. Zdroj: iStock

Infikovaných bolo 116 modelov routerov od známych výrobcov.

Počítačoví experti odhalili nový botnet, ktorý dokázal v priebehu dvoch mesiacov infikovať minimálne 100-tisíc domácich routerov. Sieť nakazených zariadení v súčasnosti slúži na rozosielanie veľkého počtu nevyžiadaných e-mailov. Bližšie informácie o hrozbe zverejnil portál Threat Post.

Z routeru sa stane proxy server

Botnet označený názvom „BCMUPnP_Hunter“ zneužíva pre svoje šírenie päťročnú chybu v module Broadcom UPnP SDK, ktorý je súčasťou mnohých routerov. Zraniteľnosť bola odhalená ešte v roku 2013, pričom vzdialenému neautentifikovanému útočníkovi umožňuje zapisovanie akýchkoľvek hodnôt do rôznych pamäťových adries. Zjednodušene povedané, útočník môže spustiť ľubovoľný škodlivý kód s najvyššími (root) oprávneniami.

Priebeh počiatočnej infekcie je veľmi podobný iným kampaniam. Botnet najprv na internete vyhľadá zariadenia, ktoré majú otvorený TCP port 5431. Následne sa ešte na nich otestuje UDP port 1900. Ak odozvy zodpovedajú definovanému vzoru, tak sa spustí samotná záškodnícka činnosť. Škodlivý kód získa kontrolu nad zraniteľným zariadením a vytvorí z neho takzvaný proxy server.

Signal láka na vysokú úroveň zabezpečenia a všetky základné funkcie dobrého komunikačného klienta.
Čítajte aj Ako komunikuje najznámejší hacker? Vyskúšali sme jeho tip

Vďaka takto vytvorenému proxy serveru sú všetky požiadavky vykonané, respektíve spustené pod IP adresou nič netušiaceho používateľa. Počítačoví zločinci vďaka tomuto riešeniu získajú prakticky úplnú anonymitu.

Podľa predbežných výsledkov vyšetrovania slúži botnet na rozosielanie nevyžiadaných e-mailových správ. Svedčí o tom zachytená komunikácia so sériou IP adries, ktoré zodpovedajú e-mailovým službám Yahoo, Outlook a Hotmail. Navyše sú všetky pripojenia smerované na TCP port 25 vyhradený pre e-mailový protokol SMTP.

Hrozba sa šíri po celom svete

Počítačoví experti uviedli, že v priebehu dvoch mesiacov odhalili 3,37 milióna unikátnych IP adries, ktoré botnet využíval pre svoju činnosť. Zároveň však dodali, že zrejme nejde o počet infikovaných zariadení. Mnoho internetových poskytovateľov totiž prideľuje svojim zákazníkom IP adresy dynamicky – IP adresa sa pravidelne mení. Realistickejší počet zariadení pripojených do botnetu preto odhadli na 100-tísic až 400-tisíc.

Infikovaných bolo pritom minimálne 116 rôznych modelov z dielne výrobcov ADB, Broadcom, D-Link, Digicom, Linksys, NetComm, UTStarcom, ZyXEL a ďalších. Kompletný zoznam dotknutých zariadení nájdete na tomto odkaze. Z geografického hľadiska boli infekcie lokalizované po celom svete, pričom ich najvyšší podiel bol v Indii, v Číne a v Spojených štátoch amerických.

Miera rozšírenia infekcie. fotogaléria / 2
Miera rozšírenia infekcie. Zdroj: 360Netlab

Na záver už len poradíme ako sa chrániť pred uvedenou hrozbou. Najefektívnejšou ochranou je pravidelné aktualizovanie firmvéru routeru. Skúsenejší používatelia si môžu zvoliť alternatívne verzie firmvéru, ktoré sa spravidla neustále vyvíjajú. Za zmienku stojí napríklad projekt LEDE, OpenWrt, DD-WRT a pár ďalších. Tu však hrozí strata záruky, prípadne aj poškodenie zariadenia spôsobené nepozornou inštaláciou.

Zaujíma vás svet internetového a mobilného marketingu? Navštívte už 27. novembra konferenciu Digital Rulezz v Bratislave. Chýbať nebudú workshopy a zaujímaví spíkri z firiem, ako sú Google, Shazam či Waze. Spoluorganizátorom konferencie je aj Živé.sk.

Diskusia 25 Príspevkov