Nustatyta, kad visame pasaulyje pažeidžiami beveik 35 mln. įrenginių, todėl grėsmių žvalgybos tyrėjai įspėjo, kad dėl matricos gali sulėtėti paveiktų maršrutizatorių namų naudotojų interneto greitis, o įmonės gali patirti veiklos sutrikimų, kibernetinių nusikaltimų ir žalos reputacijai.
Pasak „Morag“, „Paskirstytosios atsisakymo aptarnauti kampanijos vykdytojas buvo grėsmių veikėjas, pavadintas „Matrix“, ir ji rodo augančią grėsmių veikėjų tendenciją taikytis į pažeidžiamumus ir neteisingas konfigūracijas prie interneto prijungtuose įrenginiuose, ypač daiktų interneto ir įmonių sistemose“, – teigia A. Moragas.
„Matrix“ grėsmės veikėjas greičiausiai yra rusas, tačiau, nesant tiesioginio nukreipimo į Ukrainą, atrodo, kad šiuo atveju motyvacija yra grynai finansinė, o ne politinė. Tačiau ši grėsmių žvalgybos informacija rodo, kad DDoS grėsmės vystosi nuolat besikeičiančioje aplinkoje, kurioje net pradžiamoksliai gali pasinaudoti atvirojo kodo priemonėmis ir vykdyti sudėtingas ir didelio masto kampanijas“, – pridūrė grėsmių žvalgybos tarybos direktorius A. Moragas.
Išnagrinėti pradiniai prieigos prie matricos atakų vektoriai
Ataskaitos analizėje A. Moragas teigė, kad surinkęs viešai prieinamus įsilaužimo scenarijus ir kitas priemones, kad pasinaudotų visuotinai žinomais numatytaisiais slaptažodžiais, įskaitant tuos, kurie yra kietai užkoduoti įrenginiuose, „Matrix“ užpuolikas galėjo gauti pradinę prieigą prie daugelio prie interneto prijungtų įrenginių ir serverių, ne tik prie maršrutizatorių.
Tarp jų buvo tokios prie interneto prijungtos kameros, skaitmeniniai vaizdo įrašymo įrenginiai ir telekomunikacijų įranga.
„Be daiktų interneto įrenginių, įsilaužėliai taip pat taikosi į įprastus protokolus ir taikomąsias programas, pavyzdžiui, „Telnet“, SSH, „Hadoop“ ir „HugeGraph“, pasinaudodami pažeidžiamumais ir klaidingomis konfigūracijomis, kad gautų prieigą prie patikimesnės serverių infrastruktūros“ – sakė A. Moragas. Deja, daugelis atakų, naudojamų tokiai pradinei prieigai prie prijungtų įrenginių gauti, yra susijusios su standartiniais bandymais prisijungti naudojant grubius prisijungimo duomenis.
Nustatyta, kad juose naudojami įprasti numatytieji prisijungimo duomenys, pavyzdžiui, admin:admin arba root:camera, kurie ir toliau paplitę neapsaugotuose įrenginiuose, todėl jie ypač pažeidžiami. Žinoma, įsilaužus į bet kurį iš šių prietaisų, jie tampa labai vertingu turtu vykdant daug didesnės apimties operaciją, nei užpuolikas, naudojantis vieną įsilaužtą prietaisą, galėtų tikėtis pasiekti.
Konkrečiau, pradiniai „Matrix“ užpuoliko prieigos keliai buvo šie
- Atakos į maršrutizatorius, įskaitant ZTE ir GPON modelius, naudoja tokias pažeidžiamybes kaip CVE-2017-18368, komandų įskiepijimo klaida, ir CVE-2021-20090, kuri turi įtakos įvairiems įrenginiams su „Arcadyan“ programine įranga.
- Užpuolikai pasinaudoja stebėjimo įrenginių, naudojančių „Hi3520“ platformą, silpnybėmis, leidžiančiomis neleistinai prisijungti ir vykdyti komandas per HTTP.
- Tiksliniais taikiniais tampa įrenginiai, kuriuose naudojami lengvieji „Linux“ distributyvai, pavyzdžiui, „uClinux“, pasinaudojant numatytosiomis konfigūracijomis ir paslaugomis, įskaitant UPnP pažeidžiamumą „Huawei“ ir „Realtek“ įrenginiuose.
- Kampanija taip pat nukreipta į „Apache Hadoop“ „YARN“ ir „HugeGraph“ serverių pažeidžiamumus, leidžiančius nuotoliniu būdu vykdyti kodą ir išplečiančius ataką ne tik į daiktų interneto įrenginius, bet ir į įmonių programinę įrangą.
A. Moragas paminėjo pradžiamokslius, tuos nusikaltėlius įsilaužėlius, kurie turi mažai techninių ir programavimo įgūdžių, dėl labai rimtos priežasties – keli požymiai rodo, kad „Matrix“ yra pavienis grėsmės veikėjas, o ne kibernetinių nusikaltimų grupė, kur dar koks neišmanėlis. Atrodo, kad nė viena iš šių priežasčių nesutrukdė jiems surengti tokio didelio masto pasaulinę ataką.
„Daugėjant dirbtinio intelekto priemonių ir įsilaužimo įrankių „plug – and – play. Dabar pradžiamoksliai kelia didesnę grėsmę nei bet kada anksčiau“, – perspėjo A. Moragas.
Tačiau įdomu, bent jau iš kibernetinių nusikaltimų evoliucijos perspektyvos, tai, kad ši atakos kampanija žymi programinės įrangos kūrimo gyvavimo ciklo serverių ir daiktų interneto įrenginių hibridizaciją. Tradiciškai, jei toks terminas gali būti taikomas kibernetiniams nusikaltimams, pirmieji dažniausiai buvo naudojami kriptovaliutų kasybos veiklai, o antrieji – DDoS botnetams.
„Šis pokytis gali reikšti didėjantį susidomėjimą įmonių pažeidžiamumų ir klaidingų konfigūracijų panaudojimu DDoS veiklai“, – sakė A. Moragas. Nors kampaniją pačią savaime vargu ar būtų galima pavadinti sudėtinga, grėsmių veikėjui „Matrix“ pavyko pabrėžti, kaip šiek tiek techninių žinių ir daug lengvai prieinamų įrankių gali būti sujungti, kad sukurtų grėsmingą DDoS atakų botnetą.
Norėdami išvengti „Matrix“, turite užtikrinti, kad jūsų maršrutizatoriuose būtų atnaujinta naujausia programinė įranga, kad jie turėtų tvirtus administratoriaus slaptažodžius ir kad nepasikliautumėte numatytaisiais įgaliojimais.