Korzystając z 5-letniej luki zabezpieczeń botnet zaatakował przynajmniej 100 tysięcy routerów

Zagrożeń w sieci jest co nie miara. Wbrew stereotypowemu przekonaniu, wirus komputerowy nie zawsze ma za zadanie uszkodzić nasz komputer. Ba, zapewne mało kto wie, że zagrożenia mogą dotyczyć także innych urządzeń, jak na przykład routerów. A to właśnie w tę grupę uderzył odkryty niedawno botnet nazwany BCMUPnP_Hunter (nazwa od 360NetLab).

Nazwa już wskazuje, że infekuje on routery z włączoną funkcją BroadCom Universal Plug and Play (UPnP). Jest to zestaw protokołów sieciowych, które pozwalają odróżnić urządzenia w tej samej sieci – takie jak komputery osobiste, drukarki, bramki internetowe, punkty dostępu Wi-Fi i urządzenia mobilne. Wykorzystuje on lukę tej funkcji, która została odkryta już w 2013  roku.

Badacze stwierdzili, że Hunter (przyjmijmy, że możemy tak skrócić tę nazwę) jest bardzo dobrze napisany i wygląda na to, że jego twórca jest profesjonalistą. Jest to samobudująca się sieć proxy, której celem, według badaczy, jest rozsyłanie spamu. Na usłudze wysyłania niechcianych wiadomości, albo symulowania kliknięć można sporo zarobić i najprawdopodobniej właśnie to jest celem botneta. 

Według danych telemetrycznych botnet gwałtownie rośnie. Znaleziono łącznie 3,37 miliona adresów IP zainfekowanych urządzeń. Jednak z ogromnym prawdopodobieństwem wiele z nich to te same jednostki, które niejednokrotnie zmieniały swój adres IP. Realnie liczba routerów wykonujących działania sterowane Hunterem wynosi około 100 000, ale liczba potencjalnych infekcji może sięgać nawet 400 000. 

Zagrożonych jest 116 typów urządzeń, w tym routery znanych marek takich jak D-Link, Digicom czy Cisco.

Ochronić się przed botnetem nie jest ciężko. Wykorzystywana luka ma pięć lat i najprawdopodobniej producenci urządzeń zdążyli ją załatać. Dlatego wystarczy upewnić się, że nasz router ma zainstalowaną najnowszą wersję oprogramowania urządzenia. 

Źródło: Threatpost / DAGMA