SecurityWorldMarket

03.12.2018

Hackere infiserer PC-er med NSA-utviklet skadevare

TechCrunch og ZDNet melder at hackere har infisert mange tusen PC-er med skadevare utviklet av det amerikanske etterretningsbyrået NSA.

Den nye angrepsmetoden ble oppdaget av det store amerikanske internettselskapet Akamai og benytter en teknikk kalt UPnProxy.

UPnP-sårbarheter

Dette er en teknikk som innebærer å utnytte sårbarheter i den såkalte UPnP-protokollen (Universal Plug and Play) – en protokoll som er ment å gjøre nettverkskonfigurasjon enklere.

Teknikken gjør det mulig å komme rundt ruteren og infisere PC-er tilknyttet nettverket gjennom å endre det såkalte NAT-oppsettet (Network Address Translation).

NAT er navnet på systemet som endrer sender- og/eller mottakeradresse på IP-pakker når de passer gjennom ruter eller brannmur. Dette brukes vanligvis for å skjule mange nettverksenheter i et private nettverk bak én offentlig IP-adresse ut mot internett.

Akamai skriver detaljert om UPnProxy-angrepsteknikken i et eget dokument som selskapet publiserte allerede i april i år.

Bruker NSA-verktøy

Angrepsmetoden muliggjøres via noe så potent som skadevare – eller nærmere bestemt bakdører i den såkalte Eternal-serien – laget av det kjente etterretningsbyrået NSA. Bakdørene, som byrået altså selv har brukt til sin spionasje-virksomhet, har nemlig tidligere lekket på nettet.

NSA-verktøyene har for øvrig også blitt brukt som komponenter i de alvorlige skadevare-epidemiene de siste årene.

Det har eksistert fikser for sårbarhetene som de NSA-utviklede bakdørene utnytter i lengre tid, men Akamai peker på at mange rutere og PC-er fremdeles ikke er oppdaterte med fiksene og dermed ennå er sårbare.

Ifølge Akamai har de hittil oppdaget 277 000 rutere med sårbare UPnP-tjenester, hvorav over 45 000 allerede har blitt ofre i den nye hackerkampanjen, og til sammen kan det dreie seg om 1,7 millioner tilknyttede datamaskiner.

Akkurat hva hackerne eventuelt har gjort av skade er vanskelig å si, men det er uansett en god idé å sørge for å beskytte seg med oppdateringer mot de aktuelle sårbarhetene.

 

- Kilde: digi.no


Leverandører
Tilbake til toppen