Sprzęt sieciowy marki Zyxel jest wykorzystywany do cyberataków na wielu kontynentach.
Od wiosny zaobserwowano kilka ataków typu DDoS (distributed denial of service), które wykorzystywały krytyczną lukę w oprogramowaniu urządzeń sieciowych marki Zyxel. Podatne urządzenia i cele ataków znajdowały się na różnych kontynentach. Kampania trwa przynajmniej od 26 maja 2023 roku i wykorzystuje botnety spokrewnione z dobrze znanym Mirai. Cyberprzestępcy działają w ten sposób prawdopodobnie od kwietnia 2023. Wzrost aktywności botnetów
Luka, o której mowa, została oznaczona jako CVE-2023-28771. Specjaliści ocenili ją jako krytyczną (CVSS 9,8). Pozwala ona na wstrzyknięcie polecenia do działającego oprogramowania, na przykład na firewallach sprzętowych. Możliwe jest więc uruchomienie szkodliwego kodu przez wysłanie do urządzenia specjalnie przygotowanego pakietu.
Specjaliści z firmy Fortinet przeanalizowali zagrożenie i zauważyli, że wiele grup hakerskich wykorzystuje tę lukę, by uzyskać kontrolę nad sprzętem sieciowym Zyxela. Większa kolekcja przejętych urządzeń jest łączona w botnet – sieć zalewającą śmieciowymi pakietami serwery celu ataku. Powódź pakietów TCP i UDP sprawia, że serwery poddają się pod obciążeniem, więc nie da się korzystać z usług, które normalnie powinny dostarczać.
Zobacz: Polski dyplomata sprzedawał auto na Ukrainie. Jednego nie przewidział
W użyciu są botnety Dark.IoT oraz Katana, spokrewnione z Mirai. Specjaliści z Cloudflare zauważyli, że atakujący działają zaskakująco finezyjnie. Zamiast walić „z grubej rury”, starają się unikać wykrycia, ograniczając generowany ruch i elegancko podszywając się pod przeglądarki internetowe. To pozwala im dłużej zachować kontrolę nad przejętymi urządzeniami i prowadzić wielogodzinne oblężenia. Ponadto ukrywają szkodliwy ruch przez „pranie” pakietów, do czego używają serwerów nazw (DNS), należących do ofiar ataku. Botnet generuje losowe adresy w poddomenie, których serwery DNS nie są w stanie rozwiązać i są zmuszone przekazać je dalej. W ten sposób generowany jest dodatkowy ruch.
Luka zoztała zgłoszona przez badaczy z TARPA Security i już 25 kwietnia 2023 Zyxel wydał poprawkę bezpieczeństwa, która ją usuwa. Podatne są zapory sprzętowe z serii ATP, USG FLEX oraz ZyWALL. Problem w tym, że trzeba jeszcze tę aktualizację zainstalować, a administratorzy nie zawsze palą się do tej roboty.
Trudno określić, kto stoi za tymi atakami. Eksperci są zdania, że należy je powiązać z grupami prorosyjskimi, które w ostatnich miesiącach sieją spustoszenie w internecie. Polskie usługi również są na liście celów i pewnie ryzyko wzrośnie bliżej wyborów.
Zobacz: Koszmar Microsoftu. Usługi padają, dane milionów osób zagrożone
Prawdopodobnie za tymi atakami stoją członkowie takich grup jak KillNet, REvil czy Storm-1359 (Anonymous Sudan). Ta pierwsza wykazała się ostatnio wysoką jakością organizacji i przywództwa, przekonując do współpracy wiele mniejszych i większych grup haktywistów o podobnych przekonaniach. Możemy jedynie domyślać się, jak daleko sięgają jej wpływy i co jest w stanie zrobić w sieci.
Źródło zdjęć: MZinchenko / Shutterstock
Źródło tekstu: FortiGuard, Shadowserver Foundation