Hackers hebben een manier gevonden waarmee ze instellingen op thuis- en kantoorrouters kunnen wijzigen met als doel het infecteren van computers met National Security Agency (NSA)-malware. Akamai, een leverancier van content delivery network (cdn), kwam tot deze ontdekking.
Hackers maken volgens Akamai gebruik van UPnP-services, die op sommige routers zijn geïnstalleerd, om zo de NAT-tabellen (Network Address Translation) van het apparaat te kunnen wijzigen. Deze tabellen bepalen hoe IP’s en interne netwerkpoorten van de router worden toegewezen aan een superieur netwerksegment.
‘Galleta silenciosa’
Er zouden naar eigen zeggen inmiddels al 45.113 van de 277.000 routers met kwetsbare UPnP-services zijn geïnfecteerd. Uit onderzoek zou blijken dat de hackers weken hebben besteed aan het maken van een aangepaste NAT-invoer met de naam ‘galleta silenciosa’, wat Spaans is voor ‘stille cookie/cracker’. Volgens het bedrijf gaat het om ruim 1,7 miljoen apparaten, waarmee de hackers inmiddels via de poorten van de routers verbinding wisten te leggen.
De techniek werd eerder in april van dit jaar al door hackers gebruikt om routers te converteren naar proxies voor regulier webverkeer. Het enige verschil nu is volgens Akamai, dat er nu gebruik wordt gemaakt van UPnP-services om speciale regels in routers NAT-tabellen in te voegen.
‘EternalBlue’
Wat de hackers precies hebben gedaan met deze apparaten weet de leverancier niet, alleen dat het waarschijnlijk iets te maken heeft met ‘EternalBlue’, een door het Amerikaanse National Security Agency ontwikkelde malware die vorig jaar uitlekte en de kern zou zijn van de WannaCry en NotPetya ransomware-uitbraken.
Akamai sluit volgens ZDnet dan ook niet uit dat de hackers EternalRed hebben geïmplementeerd, een variant van EternalBlue die Linux-systemen kan infecteren via Samba, de SMB-protocolimplementatie voor Linux.
Waarom?
“Het doel betreft niet een gerichte aanval, maar het is een poging om beproefde off-the-shelf-exploits te gebruiken door een groot net in een relatief kleine vijver te gieten. De hackers hopen langs deze weg een pool van voorheen ontoegankelijke apparaten op te rapen”, aldus een woordvoerder van Akamai, die daarnaast ook cryptocurrency-mining als doel niet uitsluit.
Akamai adviseert bedrijven en consumenten dan ook om de UPnP-service op hun routers uit te schakelen, dan wel te investeren in een nieuwe, meer moderne router die geen gebruik maakt van de kwetsbare UPnP-implementatie.
Gerelateerd: Cybercriminaliteit in 2018: meer opbrengst voor kleinere groep criminelen