EwDoor Botnet

تسبب تهديد جديد من الروبوتات المسمى EwDoor Botnet في إصابة أجهزة حافة شبكة مؤسسة AT&T غير المحمية. يستغل التهديد ثغرة أمنية خطيرة عمرها أربع سنوات يتم تتبعها كـ CVE-2017-6079. يسمح الاستغلال للمهاجمين بالحصول على وصول جذر غير مقيد إلى الأجهزة المستهدفةعن بعد.

النموذج المحدد الذي تم الهجوم عليه في الحملة الأخيرة هو EdgeMarc Enterprise Session Border Controller. تُستخدم هذه الأجهزة بشكل شائع من قبل الشركات الصغيرة والمتوسطة (المؤسسات الصغيرة والمتوسطة الحجم) لتأمين المهام المختلفة والتعامل معها ، مثل المكالمات الهاتفية أو مؤتمرات الفيديو أو قنوات الاتصال الأخرى في الوقت الفعلي. نظرًا لأنهم يعملون كجسر بين المنظمات ومقدمي خدمات الإنترنت ، فإن مراقبي حدود الجلسة هم أهداف رئيسية لممثلي التهديد الذين يرغبون في شن هجمات DDoS (رفض الخدمة الموزعة) وجمع المعلومات الحساسة.

الآلاف من الأجهزة المعرضة للخطر

اكتشف الباحثون في مختبر أبحاث أمن الشبكات في Qihoo 360 تهديد EwDoor Botnet. كما كانوا قادرين على تحديد خوادم القيادة والتحكم (C2 ، C&C) لأحد الجهات الفاعلة في التهديد. في غضون ثلاث ساعات فقط ، تمكن الباحثون من تحديد ما يقرب من 5700 جهاز مصاب. بعد ذلك ، تحول المتسللون إلى اتصالات C2 مختلفة. من خلال التحقق من شهادات SSI للأجهزة ، وجد 360 Netlab أن حوالي 100000 عنوان IP كانوا يستخدمون نفس شهادة SSI.

تهديد القدرات

يكشف تحليل وظيفة التهديد أنه موجه في الغالب نحو شن هجمات DDoS وإنشاء باب خلفي يتصل بشبكة الضحية. تم تجهيز إصدارات EwDoor Botnet الحالية بست ميزات رئيسية. يمكنه تحديث نفسه ، والبحث عن المنافذ ، ومعالجة نظام الملفات ، وتنفيذ هجمات DDoS ، وبدء القذائف العكسية ، والسماح للمهاجمين بتنفيذ أوامر عشوائية على الخوادم المخترقة.

ذكرت AT&T أنها كانت على علم بالمشكلة واتخذت خطوات للتخفيف من تأثيرها. حتى الآن ، لم تجد الشركة أي دليل على تعرض بيانات عملائها للخطر.