Cybercriminelen vallen routers van kleine bedrijven aan via SMB-poorten

Cybercriminelen vallen routers gericht op kleine bedrijven en thuisgebruikers aan met malware. De kwaadaardige software zet poorten open richting interne netwerken om machines die geïsoleerd zijn van het internet toch aan te kunnen vallen.

Hiervoor waarschuwt Akamai Technologies. De techniek die de aanvallers gebruiken wordt UPnProxy genoemd en werd eerder dit jaar dit het bedrijf al uitgebreid beschreven. Bij UPnProxy worden kwetsbaarheden in UPnP services misbruikt om de Network Adress Translation (NAT) tabellen van routers aan te passen. Eerder werd deze aanval toegepast om routers om te toveren tot proxy servers waarmee aanvallers verbinding kunnen maken.

SMB-poorten 139 en 445

Nu zijn aanvallers er in geslaagd speciale regels aan de NAT-tabellen toe te voegen. Deze regels zorgen dat verkeer wordt doorgestuurd apparaten en computers die achter de router geplaatst zijn via via de SMB-poorten 139 en 445. Akamai meldt dat op 277.000 routers de kwetsbare UPnP services geïnstalleerd zijn. Hiervan zijn 45.113 routers inmiddels geïnfecteerd met de malware en voorzien van aangepaste NAT-regels.

De regel die de aanvallers toevoegen aan de NAT-tabellen van getroffen routers wordt 'galetta silenciosa' genoemd, wat Spaans is voor 'stille cookie'. Akamai meldt dat aanvallers via de aanval inmiddels toegang hebben weten te verkrijgen tot zo'n 1,7 miljoen apparaten. Wat de aanvallers precies op deze apparaten hebben gedaan is niet duidelijk, aangezien Akamai hier geen inzicht in heeft. Het bedrijf stelt dat een deel van deze injecties echter gekoppeld is aan EternalBlue, malware die is ontwikkeld door de Amerikaanse National Security Agency (NSA) en in 2017 uitlekte op internet. Deze malware stond ook aan de basis van de beruchte WannaCry en NotPetya ransomware. Daarnaast zou misbruik worden gemaakt van EternalRed, een variant van EternalBlue die het mogelijk maakt Linux-systeem aan te vallen via Samba.

Geen gerichte aanval

Akamai stelt dat de aanval lijkt te zijn opgezet door opportunistische aanvallers en geen gerichte aanval is. "Het doel is geen gerichte aanval. Het is een poging te profiteren van bewezen en op de plank beschikbare exploits, waarmee een breed net wordt gegooid in een relatief kleine visvijver in de hoop een reeks apparaten te besmetten die eerder ontoegankelijk was", aldus Akamai.