Исследователи из Akamai Technologies вновь наблюдают атаки на плохо сконфигурированные роутеры с включенной службой UPnP. На сей раз атакующие модифицируют таблицы трансляции сетевых адресов (NAT), чтобы добраться до устройств во внутренних сетях. В ходе текущей кампании эксперты выявили несанкционированные NAT-инъекции на 45 113 роутерах, за которыми совокупно расположены 1,7 млн машин.

Такую же тактику злоумышленники использовали при построении ботнета UPnProxy, который впоследствии использовался для проксирования трафика и маскировки источников вредоносной активности. Новую кампанию, первые признаки которой проявились 7 ноября, в Akamai нарекли Eternal Silence — и не без оснований.

Во-первых, внося изменения в NAT, атакующие оставляют в поле описания распределения портов словосочетание galleta silenciosa (исп. «тихий куки», то есть устанавливаемый без уведомления). Во-вторых, целью этих манипуляций является открытие TCP-портов 139 и 445 на устройствах в локальной сети, поэтому эксперты предположили, что далее авторы атаки пускают в ход эксплойт — EternalBlue или EternalRed. Последний ориентирован на Linux-системы и нацелен на уязвимость CVE-2017-7494, получившую известность как SambaCry.

Выяснить, что на самом деле происходит после NAT-инъекции, исследователям не удалось, однако проникновение во внутреннюю сеть открывает широкое поле деятельности для злоумышленников. Они смогут распространять там вредоносное ПО — например, шифровальщиков, или закрепиться для развития атаки.

По оценке Akamai, в настоящее время в группу риска входят 3,5 млн роутеров; 227 тыс. из них уязвимы для атак UPnProxy. Индивидуальным пользователям подобные атаки могут преподнести неприятные сюрпризы — снижение качества обслуживания, заражение, потерю важной информации или денег в результате мошенничества. Для организаций вторжение во внутреннюю сеть грозит прежде всего компрометацией скрытых за NAT систем, которые незаметно оказались в открытом доступе. К тому же такие объекты обычно получают патчи в последнюю очередь, что непрошеным гостям только на руку.

Обнаружить злонамеренную NAT-инъекцию, по словам экспертов, непросто; администратор для этого должен просканировать все оконечные устройства и вручную проверить записи в NAT-таблице. Чтобы ускорить процесс, можно воспользоваться специальным фреймворком или библиотекой — такие инструменты есть на рынке, притом в разноязычных версиях.

Для профилактики или восстановления после атаки UPnProxy специалисты Akamai советуют установить новый, хорошо защищенный роутер. Можно, конечно, сэкономить на покупке и просто отключить уязвимую службу, однако это не откатит изменения в NAT, если злоумышленник успел их внести. Поэтому после отключения UPnP рекомендуется перезагрузить роутер или сбросить настройки до заводских и установить конфигурацию с полностью отключенным UPnP.

Нелишне также проверить наличие новых прошивок, в которых проблема UPnProxy уже решена. Поскольку в результате атаки системы в локальной сети могли оказаться скомпрометированными, целесообразно будет помониторить внутренний трафик на предмет аномалий, особенно в тех случаях, когда в сети присутствуют уязвимые Windows или Linux.