Το Goldoon botnet, έχει εντοπιστεί να επιτίθεται σε D-Link routers, το οποίο εκμεταλλέυεται ένα κρίσιμο τεχνικό ελάττωμα ασφαλείας που υπάρχει εδώ και σχεδόν μια δεκαετία.
Ο σκοπός του είναι να χρησιμοποιήσει τις παραβιασμένες συσκευές ως εργαλεία για την εκτέλεση περισσότερων επιθέσεων.
Η εντοπισμένη ευπάθεια, που φέρει τον κωδικό CVE-2015-2051 με βαθμολογία CVSS 9,8, επηρεάζει routers D-Link DIR-645, επιτρέποντας σε χάκερς να εκτελούν εντολές εξ αποστάσεως μέσω ειδικά διαμορφωμένων HTTP αιτημάτων.
Διαβάστε περισσότερα: ΗΠΑ: Κατηγορίες εναντίον Μολδαβού για το χειρισμό botnet
Όταν χάκερς παραβιάσουν την ασφάλεια μιας στοχευμένης συσκευής, καταλαμβάνουν πλήρη ελεγχόμενη πρόσβαση. Αυτό τους επιτρέπει να αντλούν πληροφορίες από το σύστημα, να επικοινωνούν με έναν εξυπηρετητή ελέγχου (C2) και στη συνέχεια να χρησιμοποιούν τις συσκευές για τη διεξαγωγή περαιτέρω επιθέσεων, όπως είναι οι κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), ανέφεραν οι ερευνητές της Fortinet FortiGuard Labs, Cara Lin και Vincent Li.
Τα τηλεμετρικά δεδομένα από την εταιρεία ασφάλειας δικτύου δείχνουν μια σημαντική αύξηση στην δραστηριότητα του botnet από τις 9 Απριλίου 2024.
Όλα ξεκινούν με την εκμετάλλευση του CVE-2015-2051 για την ανάκτηση ενός σεναρίου dropper από ένα απομακρυσμένο router, το οποίο είναι υπεύθυνος για τη λήψη του ωφέλιμου φορτίου επόμενου σταδίου για διαφορετικές τεχνικές συστημάτων Linux, συμπεριλαμβανομένων των aarch64, arm, i686, m68k, mips64 , mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha και PA-RISC.
Στη συνέχεια, το ωφέλιμο φορτίο εκτοξεύεται στην παραβιασμένη συσκευή και λειτουργεί ως διακομιστής για τη λήψη του κακόβουλου λογισμικού Goldoon από έναν απομακρυσμένο server. Εν συνεχεία, το πρόγραμμα λήψης αφαιρεί το εκτελεσμένο αρχείο και αυτοεξαλείφεται, επιδιώκοντας να εξαφανίσει κάθε ίχνος παρουσίας του.
Οποιαδήποτε προσπάθεια για πρόσβαση στο τελικό σημείο από έναν web browser οδηγεί στην εμφάνιση ενός λανθασμένου μηνύματος: “Συγνώμη, εάν είστε πράκτορας του FBI, δεν είναι δυνατόν να σας προσφέρουμε βοήθεια 🙁 Παρακαλώ αποχωρήστε, διαφορετικά θα υπάρξουν συνέπειες :)”
Το Goldoon βελτιώνει την επιμονή στον κεντρικό υπολογιστή μέσω ποικίλων μεθόδων αυτοματοποιημένης εκτέλεσης και συνδέεται με έναν διακομιστή εντολών και ελέγχου (C2), αναμένοντας εντολή για ενέργειες παρακολούθησης.
Περιλαμβάνει “27 εντυπωσιακές διαφορετικές τεχνικές” για την αντιμετώπιση επιθέσεων DDoS, εφαρμόζοντας μια ποικιλία πρωτοκόλλων όπως DNS, HTTP, ICMP, TCP και UDP.
Οι ερευνητές ανέφεραν ότι “Παρόλο που το CVE-2015-2051 δεν αποτελεί μια πρόσφατη ευπάθεια και εμφανίζει χαμηλή πολυπλοκότητα στην επίθεση, οι επιπτώσεις του στην ασφάλεια είναι κρίσιμες, καθώς μπορεί να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα“.
Η εξέλιξη των botnet συνεχίζεται καθώς αυτά αναζητούν να εκμεταλλευτούν όλο και περισσότερες συσκευές, αυξάνοντας την αποτελεσματικότητά τους. Οι χάκερς και οι οργανώσεις που αναπτύσσουν προηγμένες συνεχείς απειλές (APT) έχουν εκδηλώσει έντονο ενδιαφέρον στην χρήση παραβιασμένων routers ως μέσα για την επίτευξη της ανωνυμίας.
“Οι χάκερς νοικιάζουν παραβιασμένα routers σε άλλους χάκερς, παρέχοντάς τα (τα routers) παράλληλα και σε εταιρείες που ασχολούνται με την εμπορική διαμεσολάβηση”, δήλωσε η Trend Micro στην πρόσφατη έκθεσή της σχετικά με την κυβερνοασφάλεια.
«Παράγοντες απειλών, όπως η συμμορία Sandworm χρησιμοποίησαν τα δικά τους αποκλειστικά botnet μεσολάβησης, ενώ η ομάδα APT Pawn Storm είχε πρόσβαση σε ένα εγκληματικό botnet μεσολάβησης της Ubiquiti EdgeRouters».
Χρησιμοποιώντας παραβιασμένα routers ως διακομιστές μεσολάβησης, ο στόχος είναι η απόκρυψη των ίχνων της παρουσίας τους και η δυσκολία εντοπισμού των κακόβουλων δραστηριοτήτων μέσω της συγχώνευσης της δραστηριότητάς τους.
Η κυβέρνηση των ΗΠΑ έλαβε μέτρα τον Φεβρουάριο για την αποσυναρμολόγηση τμημάτων ενός botnet που ονομάζεται MooBot, το οποίο, μεταξύ άλλων συσκευών που αντιμετωπίζουν το διαδίκτυο, όπως οι servers Raspberry Pi και VPS, αξιοποίησε κυρίως το Ubiquiti EdgeRouters.
Η Trend Micro ανακοίνωσε, ότι τα routers είναι στόχοι για Secure Shell (SSH) επιθέσεις, spam μηνύματα με φαρμακευτικό περιεχόμενο, εκμετάλλευση ανακλαστών SMB σε επιθέσεις αναμετάδοσης NTLMv2, διαχείριση κλεμμένων πιστοποιητικών σε ιστοσελίδες phishing, υποστήριξη πολλαπλών σεναρίων μεσολάβησης, εξόρυξη κρυπτονομισμάτων και αποστολή ψευδών email phishing.
Τα routers της Ubiquiti έπεσαν θύματα επίθεσης από ένα διαφορετικό επιθετικό παράγοντα, ο οποίος τους μόλυνε με ένα κακόβουλο λογισμικό γνωστό ως Ngioweb. Αυτό το λογισμικό μετέτρεψε τις συσκευές σε κόμβους εξόδου για ένα εμπορικά διαθέσιμο οικιακό botnet μεσολάβησης.
Δείτε ακόμη: Cuttlefish Malware: Παραβιάζει routers με σκοπό την κρυφή παρακολούθηση
Όλα αυτά τα ευρήματα ενισχύουν την προσοχή στην εφαρμογή διαφορετικών τύπων κακόβουλου λογισμικού, τα οποία χρησιμοποιούνται για να υποκλέπτουν routers σε δίκτυα υπό τον έλεγχο των χάκερς. Αυτό τους μετατρέπει σε αόρατους σταθμούς παρακολούθησης, ικανούς να παρακολουθούν όλη τη διακίνηση δεδομένων του δικτύου.
“Τα internet routers αποτελούν έναν προνομιακό στόχο για τους χάκερς, καθώς συχνά υποφέρουν από ανεπαρκή επιτήρηση ασφαλείας, χαλαρές πολιτικές για τους κωδικούς πρόσβασης, σπάνια ενημερώσεις και μπορούν να λειτουργούν με προηγμένα λειτουργικά συστήματα που επιτρέπουν την εγκατάσταση κακόβουλου λογισμικού. Τέτοιο λογισμικό περιλαμβάνει εξορύκτες κρυπτονομισμάτων, proxies, κακόβουλο λογισμικό για διακοπή υπηρεσίας DDoS, κακόβουλα scripts και διακομιστές ιστού”, αναφέρει η Trend Micro.
Πηγή: thehackernews
