Hacker zneužil routery Huawei k vytvoření botnetu

Check Point detekoval novou hrozbu 23. listopadu, po dalším zkoumání pak analytici odhalili řadu útoků využívajících neznámou zranitelnost v zařízeních Huawei HG532 po celém světě, zejména v USA, Francii, Itálii, Německu a Egyptě, ale také v celé řadě dalších zemí. Cílem bylo vytvořit novou variantu botnetu Mirai, který byl mimo jiné v loňském v roce zodpovědný za celosvětové útoky.

Huawei se snažil vytvořit router Home Gateway tak, aby byl jednoduchý a snadno propojitelný s domácími a podnikovými sítěmi. Proto používá protokol Universal Plug and Play (UPnP) prostřednictvím technického standardu TR-064. TR-064 je navržený pro nastavení lokálních sítí a umožňuje implementovat základní konfiguraci, upgrady firmwaru a další věci v rámci interní sítě.

i Zdroj: PCTuning.cz

Výzkumníci Check Pointu zjistili, že implementace TR-064 v zařízeních Huawei bohužel umožnila vzdáleným útočníkům spouštět libovolné příkazy v zařízení. V tomto případě to byl malware OKIRU/SATORI, který byl použit k vytvoření nové varianty botnetu Mirai. Vzhledem k rozsahu útoku, neznámé zranitelnosti nultého dne a řadě útočných serverů byla totožnost útočníka zpočátku obestřena tajemstvím a spekulovalo se o zapojení států nebo nějakém nechvalně proslulém kybergangu.

S velkým překvapením se ale pravděpodobně jedná o amatérského útočníka s přezdívkou 'Nexus Zeta', který zřejmě stojí za tímto novým pokusem o vytvoření botnetu. V poslední době byl aktivní na hackerských fórech a hledal radu, jak vytvořit podobný útočný nástroj. Což ukazuje, že kombinace uniklého malwarového kódu spolu se zneužitím špatně zabezpečených IoT zařízení může i v rukou nezkušených hackerů způsobit velké škody.

Jakmile byla hrozba potvrzena, Check Point o zranitelnosti informoval společnost Huawei, který zranitelnost rychle opravil.

i Zdroj: PCTuning.cz