Η Ομοσπονδιακή Υπηρεσία Ερευνών (FBI) προειδοποιεί ότι κακόβουλοι παράγοντες εγκαθιστούν malware σε δρομολογητές που έχουν φτάσει στο τέλος του κύκλου ζωής τους (End-of-Life – EoL), μετατρέποντάς τους σε μεσολαβητές (proxies) οι οποίοι πωλούνται μέσω των δικτύων 5Socks και Anyproxy.
Δείτε επίσης: Σφάλμα παράκαμψης ελέγχου ταυτότητας σε Juniper router
Οι δρομολογητές, οι οποίοι κυκλοφόρησαν πριν από αρκετά χρόνια και δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας από τους κατασκευαστές τους, είναι ευάλωτοι σε εξωτερικές επιθέσεις που εκμεταλλεύονται δημοσίως διαθέσιμες ευπάθειες για την εγκατάσταση επίμονου malware. Αφού παραβιαστούν, προστίθενται σε botnets μεσολαβητών που χρησιμοποιούνται για τη δρομολόγηση κακόβουλης κυκλοφορίας. Σε πολλές περιπτώσεις, οι μεσολαβητές αυτοί χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου για την εκτέλεση κακόβουλων ενεργειών ή επιθέσεων.
Η προειδοποίηση περιλαμβάνει τα παρακάτω μοντέλα Linksys και Cisco που βρίσκονται συχνά στο στόχαστρο:
Linksys: E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
Linksys WRT: 320N, 310N, 610N
Cradlepoint: E100
Cisco: M10
Η Ομοσπονδιακή Υπηρεσία Ερευνών (FBI) προειδοποιεί ότι κρατικά υποστηριζόμενοι Κινέζοι χάκερς έχουν εκμεταλλευτεί γνωστές ευπάθειες (n-day) σε αυτούς τους δρομολογητές, προκειμένου να διεξάγουν μυστικές κατασκοπευτικές επιχειρήσεις, συμπεριλαμβανομένων επιθέσεων που στοχεύουν κρίσιμες υποδομές των Ηνωμένων Πολιτειών.
Δείτε ακόμα: To Mirai Botnet στοχεύει smart routers της Juniper
Σε σχετικό δελτίο, η υπηρεσία επιβεβαιώνει ότι πολλοί από αυτούς τους δρομολογητές είναι μολυσμένοι με μια παραλλαγή του κακόβουλου λογισμικού “TheMoon“, το οποίο επιτρέπει στους επιτιθέμενους να τους ρυθμίσουν ως μεσολαβητές (proxies). Μόλις παραβιαστούν, οι συσκευές συνδέονται με διακομιστές εντολών και ελέγχου (C2) για να λάβουν οδηγίες, όπως σάρωση και παραβίαση άλλων ευάλωτων συσκευών στο διαδίκτυο.
Σύμφωνα με το FBI, οι μεσολαβητές αυτοί χρησιμοποιούνται για να αποφεύγεται ο εντοπισμός κατά την κλοπή κρυπτονομισμάτων, σε εγκλήματα κατ’ εντολή μέσω Διαδικτύου και σε άλλες παράνομες δραστηριότητες.
Κοινά σημάδια παραβίασης από ένα botnet περιλαμβάνουν προβλήματα στη συνδεσιμότητα του δικτύου, υπερθέρμανση της συσκευής, μείωση της απόδοσης, αλλαγές στις ρυθμίσεις, εμφάνιση άγνωστων διαχειριστών και ασυνήθιστη κίνηση στο δίκτυο.
Ο αποτελεσματικότερος τρόπος για να μειωθεί ο κίνδυνος μόλυνσης από botnets είναι η αντικατάσταση των παλιών, μη υποστηριζόμενων δρομολογητών με νεότερα μοντέλα που λαμβάνουν τακτικές ενημερώσεις ασφαλείας. Εάν αυτό είναι αδύνατο, εφαρμόστε την πιο πρόσφατη ενημέρωση υλικολογισμικού για το μοντέλο σας, που προέρχεται από την επίσημη πύλη λήψης του προμηθευτή, αλλάξτε τα προεπιλεγμένα διαπιστευτήρια λογαριασμού διαχειριστή και απενεργοποιήστε τους πίνακες απομακρυσμένης διαχείρισης.
Δείτε επίσης: Οι ΗΠΑ σκέφτονται απαγόρευση των κινεζικών TP-Link router
Οι δρομολογητές που έχουν φτάσει στο τέλος ζωής τους (EoL) γίνονται ολοένα και πιο ελκυστικοί στόχοι για κυβερνοκατασκοπεία, επειδή συνήθως παραμένουν ενεργοί στα δίκτυα χωρίς ενημερώσεις ασφαλείας. Αυτό σημαίνει ότι ακόμα και ένα οικιακό router που δεν φαίνεται “σημαντικό” μπορεί να μετατραπεί σε εργαλείο για επιθέσεις σε κρίσιμες υποδομές — λειτουργώντας ως ενδιάμεσος για την απόκρυψη της ταυτότητας των επιτιθέμενων. Αυτή η στρατηγική είναι ιδιαίτερα αποτελεσματική για κρατικά υποστηριζόμενες ομάδες, αφού τους επιτρέπει να δρουν αθόρυβα και να αποφεύγουν τον εντοπισμό.
Πηγή: bleepingcomputer
