یک باتنت جدید که تقریبا ۱۰۰هزار مسیریاب خانگی را در اختیار دارد در دو ماه گذشته بهطور مخفیانه گسترش یافتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،بر اساس شواهد موجود، به نظر میرسد اپراتورهای باتنت از مسیریابهای آلوده برای اتصال به سرویسهای وبمیل استفادهمیکنند و در حال فرستادن حجم زیادی از ایمیلهای اسپم هستند.
این باتنت که از یک آسیبپذیری قدیمی شناختهشده با قدمت پنجساله برای گسترش استفاده میکند، نخستینبار در ماه سپتامبر توسط تیم Netlab در Qihoo360 شناسایی و در سال ۲۰۱۳ توسط پژوهشگران امنیتی DefenseCode کشف شد و در Broadcom UPnP SDK وجود دارد. Broadcom UPnP SDK یک قطعه نرمافزاری است که در هزاران مدل مسیریاب سازندگان مختلف قرار گرفتهاست.
آسیبپذیری به مهاجم اجازه میدهد تا بدون نیاز به احراز هویت، کد مخرب را در یک مسیریاب آسیبپذیر بهصورت دسترسی از راه دور اجرا کند. چندین باتنت در گذشته از این نقص سوءاستفاده کردهاند. Netlab این باتنت را BCMUPnP_Hunter نامگذاری کردهاست. این نام بهدلیل اسکن دائم باتنت برای مسیریابهایی با رابطهای UPnP در دسترس (پورت ۵۴۳۱) انتخاب شده است.
پژوهشگران چینی میگویند که در دو ماه گذشته، اسکن BCMUPnP_Hunter را از بیش از ۳,۳۷ میلیون آیپی مشاهده کردهاند، اما تعداد دستگاههای فعال روزانه معمولا حدود صدهزاراست. قربانیان در سراسر جهان پخش شدهاند، اما بیشترین تعداد مسیریابهای آلوده در هند، چین و ایالات متحده قرار دارند.
به گفته Hui، یکی از پژوهشگران Netlab، زمانی که BCMUPnP_Hunter فرایند نفوذ چند مرحلهای را خاتمه میدهد و بر روی دستگاه آسیبپذیر قرار میگیرد، از آن برای شکار کردن دیگر مسیریابهای آسیبپذیر استفاده میکند؛ اما وی میگوید که باتنت دارای یک عملکرد ثانویه پنهان نیز است. این عملکرد ثانویه اجازه میدهد که باتنت از مسیریابهای آلوده به عنوان گرههای پراکسی و اتصالات رله از اپراتورهای باتنت به IPهای راه دور استفاده کند.
Hui اعلام کردهاست که باتنت BCMUPnP_Hunter را در حال اتصال به آدرسهای IP متعلق به خدمات وب میل مانند یاهو، Outlook و Hotmail مشاهده کردهاند. از آنجا که تمام اتصالات از طریق پورت 25 TCP انجام شدهاند (اختصاص دادهشده به پروتکل ایمیل SMTP)، پژوهشگران بر این باورند که عوامل باتنت بهطور مخفیانه پیامهای اسپم را توسط مسیریابهای آلوده ارسال میکنند.