گروه ناشناخته هکرها در حال حاضر به روترهای DrayTrec و VPN حمله می کنند ، که اغلب توسط شرکت ها مورد استفاده قرار می گیرند. در اینجا اطلاعاتی درباره آنچه در حال حاضر شناخته شده است آورده شده است.
جدید: گروه اسرارآمیز هکرها از طریق نامه الکترونیکی و ترافیک FTP در نامه الکترونیکی شرکت می کنند و به ترافیک FTP می پردازند
– به روترهای هدف شرکت های DrayTek حمله می کند / دروازه های VPN
– هکرها اسکریپت را برای ضبط ترافیک بندر 21 ، 25 ، 110 ، 143
مورد حمله قرار می دهند. – فیلمنامه از ترافیک ثبت شده 3 بار در هفته https://t.co/pJVY8KqVhl pic.twitter.com/rv9ydz4LHzحملات تلاش می کنند تا از دو آسیب پذیری 0 روزه در روترهای شرکتی DrayTek Vigor و دستگاه های سوئیچینگ استفاده کنند. اگر دستگاه ها آسیب پذیر باشند ، یک سری حملات انجام می شود. این شامل گوش دادن به ترافیک شبکه دستگاه ها ، اجرای سرویس های SSH در درگاه های مختلف ، ایجاد اکانت های پشتیبان سیستم و حتی ایجاد یک جلسه اینترنتی ویژه مخرب در فضای باز است.
ایمیل و FTP ترافیک رهگیری
محققان امنیتی از دو حمله به دستگاه های DrayTek در 4 دسامبر 2019 یادآور شدند. طبق گفته Qihoo ، مهاجمان از یک آسیب پذیری در مکانیزم رمزگذاری شده RSA از دستگاه های DrayTek سوء استفاده می کردند تا کد مخرب را در قسمت ورود مخفی کنند. دسترسی به روتر
هنگامی که روتر DrayTek اطلاعات رمزنگاری شده RSA را که توسط Boobytrapplet رهگیری می شد ، دریافت و دریافت کرد ، آن را رمزگشایی کرد ، کد مخرب را اجرا کرد و به هکرها کنترل روتر داد.
هکرها به جای سوءاستفاده از دستگاه برای اجرای حملات DDoS یا هدایت ترافیک در یک شبکه پروکسی ، مسیریاب را به یک جعبه جاسوسی تبدیل کردند. محققان می نویسند که هکرها از یک اسکریپت برای اداره ترافیک در پورت 21 (FTP – انتقال پرونده) ، پورت 25 (SMTP – ایمیل) ، درگاه 110 (POP3 – ایمیل) و درگاه 143 استفاده می کردند (IMAP – E -Mail)
اسکریپت همه ترافیک ضبط شده را هر دوشنبه ، چهارشنبه و جمعه ساعت 00:00 به یک سرور از راه دور منتقل می کند. جزئیات را می توان در سند Qihoo یافت. چرا مهاجمین در حال جمع آوری FTP و ترافیک ایمیل هستند ، مشخص نیست. ممکن است بخواهید بعداً برای رسیدن به هدف اطلاعات جمع کنید.
تنظیم حساب های پشتیبان
گروه دوم حملات از یک سوء استفاده 0 روزه دیگر استفاده می کند ، که اولین بار در تاریخ 26 ژانویه در وبلاگ ارتش جمجمه توصیف شد. هکرها دو روز بعد شروع به سوءاستفاده کردند
طبق گفته Qihoo ، هکرها از خطای rtick در دستگاههای حساس DrayTek برای ایجاد حسابهای پشتی در روترهای هک شده استفاده می کردند. آنچه مهاجمان با این حسابها انجام داده اند ، در حال حاضر مشخص نیست.
به روزرسانی های نرم افزار از فوریه 2020 در دسترس هستند.
Qihoo در مورد هر دو شکاف 0 روزه DrayTek را آگاه کرد ، اگرچه اولین هشدار هرگز به کارمندان DrayTek مسئول نرسید. این تولید کننده تنها پس از موج دوم حملات با حساب های پشتی فعال شد. DrayTek در تاریخ 10 فوریه 2020 منتشر شد. به روزرسانی های سیستم عامل ، از جمله یک نرم افزار برای مدل روتر که متوقف شده است.
به گفته Qihoo ، حملات روی روترهای DrayTek Vigor 2960 ، 3900 و 300B صورت می گیرد. ZDnet در مقاله خود می نویسد که بیش از 978،000 دستگاه DrayTek Vigor را می توان با استفاده از موتور جستجوی BinaryEdge در اینترنت یافت. طبق Qihoo ، فقط حدود 100000 از آنها با یک نسخه نرم افزاری کار می کنند که آسیب پذیر است.
