EwDoor Botnet

Uusi botnet-uhka nimeltä EwDoor Botnet on tartuttanut suojaamattomia AT&T-yritysverkon reunalaitteita. Uhka hyödyntää neljä vuotta vanhaa kriittistä haavoittuvuutta, joka on jäljitetty nimellä CVE-2017-6079. Hyödyntämisen avulla hyökkääjät voivat saada esteettömän pääkäyttäjän pääsyn kohteena oleviin laitteisiinetänä.

Äskettäisessä kampanjassa hyökätty malli on EdgeMarc Enterprise Session Border Controller. Tällaisia laitteita käyttävät yleisesti pk-yritykset (pienet ja keskisuuret yritykset) turvaamaan ja hoitamaan erilaisia tehtäviä, kuten puheluita, videoneuvotteluja tai muita reaaliaikaisia viestintäkanavia. Koska ne toimivat siltana organisaatioiden ja niiden Internet-palveluntarjoajien välillä, nämä istunnon rajavalvojat ovat ensisijaisia kohteita uhkatoimijoille, jotka haluavat käynnistää DDoS-hyökkäyksiä (Distributed Denial-of-Service) ja kerätä arkaluonteisia tietoja.

Tuhansia vaarantuneita laitteita

Qihoo 360:n Network Security Research Labin tutkijat havaitsivat ensin EwDoor Botnet -uhan. He pystyivät myös tunnistamaan yhden uhkatoimijoista Command-and-Control (C2, C&C) -palvelimen. Vain kolmessa tunnissa tutkijat pystyivät tunnistamaan noin 5 700 tartunnan saanutta laitetta. Myöhemmin hakkerit vaihtoivat eri C2-viestintään. Tarkistamalla laitteiden SSI-varmenteet 360 Netlab havaitsi, että noin 100 000 IP-osoitetta käytti samaa SSI-sertifikaattia.

Uhkaavat ominaisuudet

Uhan toimivuuden analysointi paljastaa, että se on enimmäkseen suunnattu DDoS-hyökkäysten käynnistämiseen ja uhrin verkkoon yhdistävän takaoven luomiseen. Nykyiset EwDoor Botnet -versiot on varustettu kuudella pääominaisuudella. Se voi päivittää itsensä, etsiä portteja, manipuloida tiedostojärjestelmää, suorittaa DDoS-hyökkäyksiä, käynnistää käänteisiä kuoria ja antaa hyökkääjien suorittaa mielivaltaisia komentoja rikotuissa palvelimissa.

AT&T on ilmoittanut olevansa tietoinen ongelmasta ja ryhtynyt toimiin lieventääkseen sen vaikutusta. Toistaiseksi yhtiö ei ole löytänyt todisteita asiakkaidensa tietojen vaarantumisesta.