En ny botnet er blevet opdaget af sikkerhedseksperter hos Newsky sikkerhed, med deres opdagelse bekræftes af forskere fra Qihoo 360 Netlab, Rapid7, og Greynoise. Det botnet pågældende har kompromitteret mere end 18,000 routere i en enkelt dag, og er bygget ved at udnytte et sikkerhedshul i Huawei HG532 routere kendt som CVE-2017-17.215.
Botnet Bygget Kun på en dag ved Anarchy Hacker
CVE-2017-17.215 s officielle beskrivelse går sådan her: "Huawei HG532 med nogle skræddersyede versioner har en fjernkørsel sårbarhed. En godkendt hacker kunne sende ondsindede pakker til havn 37215 at iværksætte angreb. Vellykket udnytte kunne føre til den fjerne udførelse af vilkårlig kode".
Ifølge analyse, scanningerne for fejl begyndte på juli 18, om morgenen, via port 37215.
Forfatteren af botnettet har kaldt sig selv Anarchy og har ikke givet nogen oplysninger om, hvorfor han skabte botnet. Ifølge sikkerhedseksperter, Anarchy kan være den samme hacker, der var ved hjælp af Wicked kaldenavn og hvem der står bag nogle af Mirai variationer. Variationerne er blevet identificeret som Wicked, Omni, og Owari og var aktivt brugt i DDoS-angreb.
Hvad er for det meste om om den nyopdagede botnet er den lethed det blev bygget med, ved hjælp af en højt profileret sikkerhedshul, der har været brugt før af lignende grunde. Forskning viser, at CVE-2017-17.215 er blevet indsat i skabelsen af mindst to versioner af Satori botnet samt nogle Mirai-baserede små botnet. Lad os tage den Satori botnet, som er et botnet, der udnytter en fejl i Huawei og en fejl i Realtek SDK-baserede enheder.
Disse sårbarheder er blevet udnyttet til at angribe og inficere computere. Den botnet selv blev skrevet oven på den ødelæggende Mirai tingenes internet botnet. Satori operatører udnyttes netop disse to sårbarheder til succes målrette hundredvis af enheder, forskere rapporteret tidligere på året.
Den mest alarmerende del af denne historie er, at Anarchy hacker byggede botnet i span af en enkelt dag. Tilsyneladende hackeren er ikke klar til at stoppe endnu, og har planer om at målrette en anden sikkerhedshul, CVE-2014-8361, som er en sårbarhed i Realtek routere, der kan udnyttes via port 52869.
Her er den sårbarhed officielle beskrivelse: "Den miniigd SOAP service i Realtek SDK muligt for fjernangribere at udføre vilkårlig kode via en fabrikeret NewInternalClient anmodning".
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: