CDN企业暨安全公司Akamai近日发现NSA制造有黑客入侵超过4.5万台家用路由器,并可能使上百万台PC、IoT设备及手机暴露于NSA攻击工具的风险中。
Akamai研究人员在11月初发现至少有4.5万台家用路由器遭一个注入指令的新恶意程序。根据攻击者留下的描述研究人员将之命名为Eternal Silence。研究人员相信,攻击者利用EternalSilence得以通过UPnProxy攻击手法,使连向这些路由器的终端设备包括PC、手机或其他物联网设备曝险。
UPnProxy是近年流行的攻击手法,它利用UPnP欠缺流量验证的缺点,利用拙劣的默认导致有UPnP的设备(如路由器)易遭远程攻击者更改组态或执行远程代码,使这些设备变成代理服务器,在隐藏攻击流量来源下,协助发送垃圾邮件、僵尸网络病毒或DDoS攻击。
根据Akamai研究人员的分析,EternalSilence企图变更数万台家用路由器的NAT组态,以打开其TCP传输端口139和445(即SMB服务),使链接的设备暴露于外部网络中。依这些路由器链接的IP计算,总共有170万台机器可能曝险。
依据过去针对SMB服务的攻击研究,研究人员怀疑EternalSilence的注入程序背后可能和Eternal攻击工具家族有关,这个家族为美国国安局(NSA)发展出来,之后遭窃取流传于黑客圈的一组攻击工具,包括已多次被利用的EternalBlue或EternalRed。