Προειδοποίηση FBI σε 10 εκατομμύρια χρήστες Android
Προειδοποίηση FBI σε 10 εκατομμύρια χρήστες Android – Αποσυνδέστε τις συσκευές σας τώρα
Τον Μάρτιο, αναφέρθηκε ότι ένα από τα μεγαλύτερα botnets που έχουν εντοπιστεί ποτέ είχε επηρεάσει πάνω από ένα εκατομμύριο συσκευές Android. Αυτή η τεράστια επίθεση ήταν γνωστή ως BadBox, αλλά πλέον έχει ξεπεραστεί από το BadBox 2.0, με τουλάχιστον 10 εκατομμύρια Android συσκευές μολυσμένες. Η Google έχει αναλάβει δράση για την προστασία των χρηστών όσο καλύτερα μπορεί, ξεκινώντας και νομική διαδικασία κατά των επιτιθέμενων, ενώ το FBI έχει προτρέψει τους χρήστες που επηρεάζονται να αποσυνδέσουν τις συσκευές τους από το διαδίκτυο. Δείτε τι πρέπει να γνωρίζετε.
Το FBI, η Google και άλλοι προειδοποιούν για τις επιθέσεις BadBox 2.0
Η προειδοποίηση κυβερνοασφάλειας του FBI, I-060525-PSA, ήταν απολύτως σαφής: οι επιθέσεις στοχεύουν τα πάντα – από συσκευές streaming, ψηφιακές κορνίζες, μεταγενέστερα infotainment αυτοκινήτων, μέχρι διάφορες οικιακές έξυπνες συσκευές. Οι συσκευές αυτές, φτηνές και μη πιστοποιημένες, προερχόμενες κυρίως από την Κίνα, επιτρέπουν στους εισβολείς να έχουν πρόσβαση στο οικιακό σας δίκτυο και πέραν αυτού, προειδοποίησε το FBI, «μέσω προεγκατάστασης κακόβουλου λογισμικού πριν από την αγορά από τον χρήστη». Έχει επίσης σημειωθεί ότι και οι «υποχρεωτικές ενημερώσεις λογισμικού» κατά την εγκατάσταση μπορεί να εισάγουν κακόβουλη πίσω πόρτα.
Η ομάδα Lat61 Threat Intelligence της Point Wild ανέλυσε την αλυσίδα μόλυνσης του BadBox 2 και αποκάλυψε νέους δείκτες παραβίασης, οι οποίοι κοινοποιήθηκαν σε παγκόσμιες ομάδες απόκρισης κυβερνοεπειγόντων περιστατικών και στις αρχές επιβολής του νόμου. Ο Kiran Gaikwad από την ομάδα LAT61 δήλωσε: «Αυτό το κακόβουλο λογισμικό βασισμένο στο Android είναι προεγκατεστημένο στο firmware φτηνών IoT συσκευών, έξυπνων τηλεοράσεων, TV boxes και tablets, πριν καν φύγουν από το εργοστάσιο». Πρόσθεσε: «Τις μετατρέπει σιωπηλά σε κόμβους διαμεσολάβησης κατοικίας για εγκληματικές δραστηριότητες, όπως απάτη με κλικ, κλοπή διαπιστευτηρίων και μυστική δρομολόγηση εντολών (C2)».
Η Google, από την πλευρά της, επιβεβαίωσε στις 17 Ιουλίου ότι έχει «καταθέσει αγωγή στο ομοσπονδιακό δικαστήριο της Νέας Υόρκης κατά των υπευθύνων του botnet». Ανακοίνωσε επίσης ότι έχει ενημερώσει το Google Play Protect, την ενσωματωμένη προστασία από κακόβουλο λογισμικό στο Android, ώστε να αποκλείει αυτόματα τις εφαρμογές που σχετίζονται με το BadBox.
Η Human Security πίσω από την αποκάλυψη του BadBox 2.0
Η Human Security, της οποίας η ομάδα Satori Threat Intelligence and Research αποκάλυψε και διέκοψε αρχικά την εκστρατεία του BadBox 2.0, δήλωσε τότε ότι οι ερευνητές πίστευαν πως «αρκετές ομάδες απειλών συμμετείχαν στο BadBox 2.0, συμβάλλοντας σε μέρη της υποδομής ή των modules απάτης, όπως απάτη με διαφημίσεις, click fraud, proxyjacking και δημιουργία botnet σε 222 χώρες και περιοχές».
Ο CEO της Human Security, Stu Solomon, δήλωσε:
«Χαιρετίζουμε τη δυναμική δράση της Google κατά των κυβερνοεγκληματιών πίσω από το botnet BadBox 2.0 που αποκάλυψε η ομάδα μας. Αυτή η επιχείρηση αποτελεί ένα σημαντικό βήμα στην προσπάθεια να προστατευτεί το διαδίκτυο από εξελιγμένες απάτες που καταλαμβάνουν συσκευές, κλέβουν χρήματα και εκμεταλλεύονται τους καταναλωτές εν αγνοία τους. Η αποστολή μας είναι να προστατεύουμε την ακεραιότητα του ψηφιακού οικοσυστήματος διαταράσσοντας το έγκλημα σε μεγάλη κλίμακα, και αυτή η επιχείρηση αναδεικνύει τη δύναμη της συλλογικής άμυνας. Είμαστε περήφανοι που συνεργαστήκαμε στενά με την Google, την TrendMicro και το Shadowserver Foundation».
Μια νέα παγκόσμια επίθεση botnet αναδύεται – τι πρέπει να γνωρίζετε
Μια νέα αναφορά, υπό την καθοδήγηση του Jeff Golden, επικεφαλής μηχανικού λογισμικού της GreyNoise και της ερευνητικής του ομάδας, επιβεβαιώνει άλλη μια παγκόσμια επιχείρηση botnet. Η έρευνα ξεκίνησε όταν μια μικρή περιοχή στον χάρτη πληροφοριών φαινόταν να «ανάβει» με δραστηριότητα που είχε το ίδιο αποτύπωμα: brute-force Telnet, προσπάθειες σύνδεσης με προεπιλεγμένους κωδικούς πρόσβασης σε IoT συσκευές και προσπάθειες σύνδεσης μέσω hardcoded Telnet.
Η ανάλυση με τεχνητή νοημοσύνη της ομάδας GreyNoise εντόπισε ότι όλα τα συστήματα ήταν VoIP-enabled συσκευές. Η αναφορά τους ανέφερε:
«Χρησιμοποιώντας ετικέτες GreyNoise, ομοιότητες συμπεριφοράς και πρότυπα κυκλοφορίας Telnet, εντοπίσαμε περίπου 500 IP παγκοσμίως με παρόμοια χαρακτηριστικά».
Οι ερευνητές προειδοποίησαν ότι τα VoIP συστήματα, συχνά με παλιό Linux firmware και ανοιχτό Telnet από προεπιλογή, αποτελούν ιδανικό στόχο για επιθέσεις. Πολλές τέτοιες συσκευές είναι εκτεθειμένες στο διαδίκτυο, σπάνια παρακολουθούνται και σπάνια ενημερώνονται. «Αν και δεν επιβεβαιώσαμε την εκμετάλλευση συγκεκριμένου CVE», δήλωσαν, «η δραστηριότητα υπογραμμίζει το πρόβλημα: τα ευάλωτα σημεία παραμένουν εκτεθειμένα πολύ μετά την αρχική τους αποκάλυψη».
Αυτό έχει σημασία γιατί τα VoIP συστήματα συχνά παραβλέπονται στην κυβερνοασφάλεια, όχι μόνο από τους χρήστες, αλλά και από παρόχους υπηρεσιών που ενδέχεται «εν αγνοία τους να συμβάλλουν στην υποδομή παγκόσμιων botnets». Το πιθανώς σχετιζόμενο με το Mirai botnet εκμεταλλεύεται ευκαιριακά κάθε στόχο. Για τον λόγο αυτό, η GreyNoise προτείνει στους υπεύθυνους ασφάλειας να ελέγχουν την έκθεση Telnet, ειδικά σε συστήματα με δυνατότητα VoIP και να «αλλάζουν ή απενεργοποιούν τους προεπιλεγμένους κωδικούς στις edge και SOHO συσκευές».
Συστάσεις FBI και τρόποι αντιμετώπισης BadBox 2.0 – Αποσυνδέστε τις ύποπτες συσκευές σας
Το FBI προτείνει στους χρήστες Android να προσέξουν τις παρακάτω ενδείξεις ότι η κινεζικής κατασκευής έξυπνη συσκευή τους μπορεί να είναι μολυσμένη με το BadBox 2.0 malware:
- Οποιαδήποτε απαίτηση απενεργοποίησης του Google Play Protect.
- Συσκευές streaming που διαφημίζονται ως πλήρως ξεκλείδωτες ή με δυνατότητα δωρεάν περιεχομένου.
- Συσκευές από άγνωστες μάρκες.
- Χρήση ανεπίσημων αγορών εφαρμογών, όπου απαιτείται λήψη λογισμικού κατά την εγκατάσταση.
- Ανεξήγητη ή ύποπτη δραστηριότητα στο διαδίκτυο.
Για την αντιμετώπιση της απειλής, η σύσταση είναι απλή: οι χρήστες θα πρέπει να «εξετάσουν το ενδεχόμενο αποσύνδεσης ύποπτων συσκευών από τα δίκτυά τους», δήλωσε το FBI.
Δεν υπάρχουν σχόλια
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.