Μια εκτεταμένη λειτουργία botnet, που εκμεταλλεύεται δρομολογητές με δυνατότητα VOIP και άλλες συσκευές διαμορφωμένες με προεπιλεγμένα διαπιστευτήρια, έχει εντοπιστεί παγκοσμίως. Η αποκάλυψη αυτής της εξελιγμένης εκστρατείας ξεκίνησε όταν αναλυτές ασφαλείας παρατήρησαν μια ασυνήθιστη συγκέντρωση κακόβουλων διευθύνσεων IP στην αγροτική Νέο Μεξικό. Αυτό το εύρημα οδήγησε τελικά στην ανίχνευση περίπου 500 παραβιασμένων συστημάτων σε όλο τον κόσμο.
Οι μηχανικοί της GreyNoise εντόπισαν 90 κακόβουλες διευθύνσεις IP από την Αρχή Κοινής Ωφέλειας Pueblo of Laguna, Νέο Μεξικό. Αυτή η τοποθεσία έχει πληθυσμό λίγο πάνω από 3.000. Η κίνηση από αυτά τα συστήματα ήταν αποκλειστικά βασισμένη σε Telnet. Εμφάνιζε χαρακτηριστικά που υποδηλώνουν δραστηριότητα botnet, συμπεριλαμβανομένων ετικετών όπως "Telnet Bruteforcer" και "Mirai".
Η ανάλυση με τεχνητή νοημοσύνη μέσω του διακομιστή MCP εντόπισε ένα διακριτό αποτύπωμα δικτύου: την υπογραφή JA4t 5840_2-4-8-1-3_1460_1. Αυτή η υπογραφή αντιπροσώπευε το 90% της παρατηρούμενης κακόβουλης κίνησης, υποδηλώνοντας ομοιομορφία στις διαμορφώσεις υλικού. Υποδεικνύει σκόπιμη, συντονισμένη στόχευση συγκεκριμένων μοντέλων συσκευών.
Η ανάλυση επιβεβαίωσε ότι πολλά επηρεαζόμενα συστήματα ήταν συσκευές με δυνατότητα VOIP, με υλικό της Cambium Networks να εμπλέκεται. Αυτές οι συσκευές συχνά λειτουργούν με παρωχημένο υλικολογισμικό Linux, εκθέτοντας τις υπηρεσίες Telnet από προεπιλογή. Αυτό τις καθιστά πρωταρχικούς στόχους για κακόβουλους παράγοντες.
Παγκοσμίως, 500 επιπλέον διευθύνσεις IP εμφάνισαν συγκρίσιμα πρότυπα συμπεριφοράς. Οι παραβιασμένες συσκευές μοιράζονταν χαρακτηριστικά: προσπάθειες σύνδεσης Telnet με αδύναμα ή προεπιλεγμένα διαπιστευτήρια. Επίσης, εμφάνισαν αυξημένους όγκους συνεδριών και σάρωση συνεπή με παραλλαγές του botnet Mirai. Οι συσκευές VOIP είναι ελκυστικοί στόχοι λόγω της έκθεσής τους στο διαδίκτυο, της ελάχιστης παρακολούθησης και της σπάνιας επιδιόρθωσης.
Ορισμένοι δρομολογητές Cambium ενδέχεται να χρησιμοποιούν υλικολογισμικό ευάλωτο σε ένα ελάττωμα RCE του 2017. Οι ερευνητές δεν μπόρεσαν να επιβεβαιώσουν την εκμετάλλευσή του. Αυτή η εκστρατεία δείχνει ότι οι ευπάθειες παραμένουν. Οι παράγοντες απειλών εκμεταλλεύονται ευκαιριακά συστήματα πολύ μετά τη δημόσια αποκάλυψη, όποτε είναι προσβάσιμα.
Αξίζει να σημειωθεί ότι, όταν οι ερευνητές της GreyNoise αναφέρθηκαν εν συντομία σε αυτή τη δραστηριότητα στα μέσα κοινωνικής δικτύωσης, η κίνηση που προερχόταν από την υπηρεσία κοινής ωφέλειας του Νέου Μεξικού σταμάτησε απότομα. Ωστόσο, γρήγορα αυξήθηκε ξανά στη συνέχεια, υποδεικνύοντας ότι οι επιτιθέμενοι παρακολουθούν ενεργά τις συζητήσεις της κοινότητας ασφαλείας.
Σε απάντηση, οι ειδικοί ασφαλείας συμβουλεύουν τους οργανισμούς να ελέγξουν άμεσα την έκθεση Telnet σε όλα τα συστήματα με δυνατότητα VOIP, να επιβάλουν την αλλαγή ή απενεργοποίηση προεπιλεγμένων διαπιστευτηρίων σε συσκευές άκρου, και να αναπτύξουν μηχανισμούς δυναμικής αποκλεισμού IP για την αποτελεσματική αντιμετώπιση αυτών των συντονισμένων επιθέσεων.
Αποκτήστε ταχύτερη, ακριβέστερη ανίχνευση phishing και ενισχυμένη προστασία για την επιχείρησή σας με ανάλυση sandbox σε πραγματικό χρόνο-> Δοκιμάστε το ANY.RUN τώρα.