אנשי יחידה 42 – חוקרי הסייבר של פאלו אלטו נטוורקס, גילו כי רבבות נתבי Wi-Fi חשופים לגרסאות מעודכנות של תוכנות זדוניות המנצלות את חולשות ידועות כדי לחבל בהתקנים ולגייס אותם לרשת בוטנט שיכולה לספק יכולות התקפה מניעת שירות (DDoS) על ידי פושעי סייבר.

מדובר בגרסה חדשה של Gafgyt שמנסה להדביק התקני IoT, בדגש על נתבים אלחוטיים למשרד או לבית המיוצרים על ידי מותגים מסחריים מוכרים בשוק כגון זיקסל, Huawei ו- Realtek. הגרסה החדשה של Gafgyt היא בוטנט מתחרה לבוטנט של JenX, שמנצל יכולת השתלטות מרחוק כדי להשיג גישה ולגייס נתבים לרשת הבוטנט ולתקוף שרתים של שירותי משחקים – בעיקר כאלה המריצים את מנוע ה- Valve Source – ולגרום למניעת שירות (DDoS) . 

מדובר בגרסה שמתחרה גם נגד בוטנים דומים, שחוקרי פאלו אלטו נטוורקס איתרו מוצעים למכירה באינסטגרם. על פי סריקות SHODAN ישנם כיום יותר מ-32 אלף נתבי Wi-Fi שעלולים להיות חשופים לחולשות הללו ברחבי העולם. Gafgyt היא גרסת בוטנט שנחשפה בשנת 2014 והפכה פופולרית ככלי להוצאת התקפות מניעת שירות בקנה מידה גדול. מאז, גרסאות רבות התפתחו והן ממוקדות במכשירים מסוגים שונים בתעשיות שונות.

כבר בשנת 2016 זיהו אנשי פאלו אלטו נטוורקס כי נתבים אלחוטיים הם מבין ההתקנים הנפוצים ביותר בארגונים, מה שהופך אותם למטרות עבור רשתות בוטנט. עובדה זו פוגעת בפעילות הרשת התקינה של הארגון וגם במוניטין של כתובת ה-IP של החברה. בנוסף, גילונו שרשתות בוטנט מקבלות גישה להתקני IoT על ידי ניצול חולשות, ולאו דווקא על ידי “דרך המלך” של התחברות באמצעות שירותים לא מאובטחים כמו telnet. כך יכולות רשתות הבוטנט להתפשט ביתר קלות דרך התקני IoT גם אם מנהלי המערכת השביתו שירותים לא מאובטחים והחילו סיסמאות כניסה חזקות.

הקשר בין בוטנט לשרתי משחק אינו מפתיע. בעבר נחשפה גרסה דומה בשם JenX על ידי Radware, אשר פוגעת בחולשות ( CVE-2017-17215 ו- CVE-2014-8361) הנמצאות בנתבי ה-WiFi Huawei HG532  ו- Realtek RTL81XX בהתאמה. לאחר ניתוח הגרסה, זיהו החוקרים שהיא מכוונת לשלושה דגמי נתב אלחוטי: Zyxel P660HN-T1A, Huawei HG532, Realtek RTL81XX – והיא משתמשת בשלושה “סורקים” שמנסים לנצל חולשות ידועות לביצוע השתלטות מרחוק. סורקים אלה מחליפים את ההתקפה האופיינית הנפוצה של רשתות בוטנט אחרות על התקני IoT.

ברגע שהתקן ה-IOT או הנתב מגויסים לרשת הבוטנט, הוא מתחיל לקבל פקודות לביצוע התקפות DDoS מסוגים שונים נגד שרתי משחקים שמפעילים את מנוע Valve Source. מנוע זה מפעיל משחקים כמו Half-Life ו- Team Fortress 2 ואחרים. זוהי אינה התקפה על תאגיד Valve עצמו מכיוון שכל אחד יכול להריץ שרת למשחקים אלה ברשת שלו. מדובר על התקפה כנגד השרתים.

אחת מההתקפות שנמצאו בגרסה שזוהתה מחפשת רשתות בוטנט מתחרות באותו התקן ומנסה להרוג אותן כדי להפוך לרשת הבוטנט הבלעדי והשלטת על ההתקן. היא עושה זאת על ידי חיפוש מילות מפתח ושמות בינאריים מסוימים שנמצאים בגרסאות בוטנט אחרות.

החוקרים גילו כי חלק ממחרוזות החיפוש הללו קשורות לרשתות בוטנט התוקפות התקני IoT כמו Hakai, Miori, Satori, Mirai וכן כמה רשתות בוטנט הקשורות לשמות משתמש באינסטגרם. החוקרים הצליחו ליצור קשר עם ההאקרים פרופילים מזויפים וגילו שהם מוכרים גישה לרשתות הבוטנט דרך פרופילי האינסטגרם שלהם ובמחירים זולים.

אלו הציעו לחוקרים “מקום” בשרתים שלהם עבור 8 עד 150 דולר. “מקום” משמעו הוספת קבוצה של כתובות IP שכנגדן תפעיל רשת הבוטנט מתקפת DDoS. ההאקרים גם הציעו לחוקרים את קוד המקור לרשת הבוטנט במגוון רחב של מחירים וצרכים. חוקרי יחידה 42 יצרו קשר עם צוות אינסטגרם כדי לדווח על אותם פרופילים המפיצים תוכנות זדוניות.



Source link

You must be logged in to post a comment.