TechCrunch og ZDNet melder at hackere har infisert mange tusen PC-er med skadevare utviklet av det amerikanske etterretningsbyrået NSA.
Den nye angrepsmetoden ble oppdaget av det store amerikanske internettselskapet Akamai og benytter en teknikk kalt UPnProxy.
UPnP-sårbarheter
Dette er en teknikk som innebærer å utnytte sårbarheter i den såkalte UPnP-protokollen (Universal Plug and Play) – en protokoll som er ment å gjøre nettverkskonfigurasjon enklere.
Teknikken gjør det mulig å komme rundt ruteren og infisere PC-er tilknyttet nettverket gjennom å endre det såkalte NAT-oppsettet (Network Address Translation).
NAT er navnet på systemet som endrer sender- og/eller mottakeradresse på IP-pakker når de passer gjennom ruter eller brannmur. Dette brukes vanligvis for å skjule mange nettverksenheter i et private nettverk bak én offentlig IP-adresse ut mot internett.
Akamai skriver detaljert om UPnProxy-angrepsteknikken i et eget dokument som selskapet publiserte allerede i april i år.
Bruker NSA-verktøy
Angrepsmetoden muliggjøres via noe så potent som skadevare – eller nærmere bestemt bakdører i den såkalte Eternal-serien – laget av det kjente etterretningsbyrået NSA. Bakdørene, som byrået altså selv har brukt til sin spionasje-virksomhet, har nemlig tidligere lekket på nettet.
NSA-verktøyene har for øvrig også blitt brukt som komponenter i de alvorlige skadevare-epidemiene de siste årene.
Det har eksistert fikser for sårbarhetene som de NSA-utviklede bakdørene utnytter i lengre tid, men Akamai peker på at mange rutere og PC-er fremdeles ikke er oppdaterte med fiksene og dermed ennå er sårbare.
Ifølge Akamai har de hittil oppdaget 277 000 rutere med sårbare UPnP-tjenester, hvorav over 45 000 allerede har blitt ofre i den nye hackerkampanjen, og til sammen kan det dreie seg om 1,7 millioner tilknyttede datamaskiner.
Akkurat hva hackerne eventuelt har gjort av skade er vanskelig å si, men det er uansett en god idé å sørge for å beskytte seg med oppdateringer mot de aktuelle sårbarhetene.
