اداره تحقیقات فدرال ایالات متحده (FBI) هشدار داده است که مهاجمان سایبری با آلوده کردن روترهای منسوخشده(end-of-life) به بدافزار، آنها را به پروکسیهایی تبدیل میکنند که در شبکههای 5Socks و Anyproxy به فروش میرسند.
این دستگاهها که سالها پیش عرضه شدهاند و دیگر از سوی تولیدکنندگان بهروزرسانی امنیتی دریافت نمیکنند، در برابر حملات خارجی که از اکسپلویتهای عمومی استفاده میکنند آسیبپذیر هستند. مهاجمان با بهرهگیری از این آسیبپذیریها، بدافزارهایی پایدار روی روترها تزریق میکنند.
پس از آلوده شدن، این روترها به باتنتهای پروکسی خانگی افزوده میشوند و ترافیک مخرب را مسیریابی میکنند. در بسیاری از موارد، این پروکسیها برای انجام فعالیتهای مخرب یا حملات سایبری مورد استفاده مجرمان سایبری قرار میگیرند. مهاجمان با استفاده از این پروکسیها میتوانند هویت یا موقعیت مکانی خود را پنهان نگه دارند.
روترهای مورد استفاده در حملات
در این هشدار، مدلهای خاصی از روترهای Linksys و Cisco که بیش از بقیه در معرض هدف قرار گرفتن هستند به شرح زیر اعلام شدهاند:
. Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
. Linksys WRT320N, WRT310N, WRT610N
. Cradlepoint E100
. Cisco M10
FBI هشدار داده است که گروههای وابسته به دولت چین با سوءاستفاده از آسیبپذیریهای شناختهشده (n-day) در این روترها، کمپینهای جاسوسی مخفیانهای را اجرا کردهاند؛ از جمله حملاتی که زیرساختهای حیاتی ایالات متحده را هدف قرار دادهاند.
بدافزار TheMoon
در یک بولتن مرتبط، این نهاد تأیید کرده که بسیاری از این روترها به نسخهای از بدافزار «TheMoon» آلوده شدهاند؛ بدافزاری که به مهاجمان امکان میدهد دستگاه را بهعنوان پروکسی پیکربندی کنند.
طبق اعلام FBI، روترهای منسوخشده توسط مهاجمان سایبری با استفاده از انواع مختلفی از باتنت TheMoon مورد نفوذ قرار گرفتهاند. در نمونههای اخیر، مشاهده شده که برخی از این روترها، بهویژه آنهایی که قابلیت مدیریت از راه دور در آنها فعال بوده، به نسخه جدیدی از بدافزار TheMoon آلوده شدهاند. این بدافزار به مهاجمان اجازه میدهد بدون اطلاع مالک دستگاه، پروکسیهایی روی روترها نصب کرده و فعالیتهای سایبری خود را بهصورت ناشناس انجام دهند.
پس از آلوده شدن، این روترها به سرورهای فرمان و کنترل (C2) متصل میشوند و دستوراتی از جمله اسکن و آلودهسازی سایر دستگاههای آسیبپذیر در اینترنت برای اجرا دریافت میکنند.
FBI هشدار داده است که این پروکسیها برای دور زدن سیستمهای شناسایی در حملاتی مانند سرقت رمزارز، خدمات سایبری اجارهای و سایر فعالیتهای غیرقانونی مورد استفاده قرار میگیرند.
توصیه امنیتی
نشانههای رایج آلوده شدن به باتنت شامل اختلال در اتصال شبکه، داغ شدن بیشازحد، افت عملکرد، تغییر در تنظیمات، ظاهر شدن کاربران مدیریتی ناشناس و ترافیک غیرعادی شبکه است.
مؤثرترین روش برای کاهش خطر آلوده شدن به باتنت، جایگزینی روترهای منسوخشده با مدلهای جدیدتر و پشتیبانیشده است. در صورت عدم امکان تعویض دستگاه، لازم است آخرین نسخهی فریمور رسمی از وبسایت تولیدکننده نصب شود، حساب مدیریتی پیشفرض تغییر یابد و قابلیت مدیریت از راه دور غیرفعال گردد.
