Zákerný malvér sa opäť vkradol medzi nás: TheMoon napáda hlavne tieto zariadenia
TheMoon už funguje niekoľko rokov, pričom strieda obdobia aktivity a neaktivity.
Bezpečnostní experti z Black Lotus Labs odhalili hackerskú kampaň, ktorá prebieha už niekoľko rokov. V tomto prípade sa hackeri zameriavajú na menšie pracovné routery, ktoré sa už dostávajú ku koncu svojej životnosti.
Aj internetový router má svoju životnosť, počas ktorej dostávajú nové aktualizácie. Aktualizácie môžu pomôcť vylepšiť výkon routera, no zároveň prinášajú aj bezpečnostné vylepšenia, ktoré hackerom sťažujú nabúranie sa do zariadenia. Ak sa produkt nachádza v takzvanej “end-of-life“ fáze, znamená to, že výrobca už ďalej nevydáva bezpečnostné a ani iné aktualizácie na daný model.
V praxi to znamená, že ak hackeri objavia novú bezpečnostnú slabinu, môžu ju využívať bez toho, aby sa obávali, že bude opravená vývojárom. Výrobca routeru sa však v špeciálnych prípadoch môže rozhodnúť vydať aktualizáciu aj pre zariadenia na konci svojej životnosti. To sa typicky stáva, ak sa objaví mimoriadne závažná slabina.
V tomto prípade odhalili bezpečnostní experti novšiu verziu známeho malvéru TheMoon. Tento malvér napáda staršie routery a konvertuje ich do proxy pre službu Faceless, ktorá poskytuje zákazníkom anonymitu. Hackeri sa zameriavajú primárne na zastarané menšie pracovné routery. Analytici odhalili už dokopy šesť hackerských kampaní, ktoré využívali napadnuté routery.
Ako experti vysvetľujú, malvér TheMoon má počiatky v roku 2019. Na pár rokov stíchol, no opäť sa dostal na povrch v roku 2023. Malvér na seba nepútal veľkú pozornosť a pomaličky získal až 40-tisíc webbotov. Ide o napadnuté routery, ktoré slúžia ako základ pre zločineckú proxy službu Faceless. Malvér TheMoon v podstate dovoľoval operátorom tejto proxy služby posielať premávku hackerov cez zariadenia, ktoré vlastnili menšie podniky alebo obyčajní ľudia.
Neprehliadnite
“TheMoon botnet sa v tichosti vrátil, no podarilo sa nám zastaviť útok na našu sieť. Útočníci za službou Faceless používajú botnety na vytvorenie anonymnej proxy siete tým, že zneužívajú zastarané a nepodporované routery,” vysvetľuje Mark Dehus, jeden z autorov výskumu.
Malvér TheMoon sa v tichosti vracia
Bezpečnostní experti podozrievajú, že TheMoon je jediným v arzenáli útočníkov, ktorý pridáva nové zariadenia do proxy siete Faceless. Malvér predstavuje vážnu hrozbu nielen pre majiteľov napadnutých routerov, ale aj pre každého, kto sa stal poškodeným pri útokoch hackerov cez napadnuté routre.
Ochrana je jednoduchá. Ak máte ešte podporovaný router, uistite sa, že ho raz za čas reštartujete a tým nainštalujete bezpečnostné aktualizácie. Ak váš router už naďalej nové aktualizácie nedostáva, uvažujte o kúpe novšieho modelu.
Bezpečnostní experti pokračujú v monitorovaní hackerskej aktivity, popri čom sa pokúšajú aj zastaviť akékoľvek podozrivé správanie alebo útoky. TheMoon však naďalej ostáva aktívny a riziko napadnutia starých routerov vysoké. Preto ak vám končí podpora routeru, odporúčame sa začať pozerať po novom. Udržiavanie routerov v top stave vás môže v budúcnosti ušetriť od množstva problémov.
Komentáre