Napadači preuzimaju mrežne uređaje za DDoS napade i rudarenje kriptovaluta
Istraživači opisuju rastući talas napada na rutere, firewalle i IoT uređaje, gde kompromitovana mrežna oprema više ne služi samo za upad, već i za direktnu zaradu i ometanje rada. U tekstu se izdvajaju dve novije maliciozne familije. CondiBot, varijanta Mirai botneta, pretvara zaražene Linux uređaje različitih arhitektura u čvorove za DDoS napade, koristi više metoda preuzimanja payload-a i uklanja konkurentski malware. Drugi primer, Monaco, kombinuje SSH skener i Monero miner, brute-force tehnikom traži izložene SSH servise, preuzima pristupne podatke i koristi kompromitovane sisteme za rudarenje. Obe kampanje pokazuju da mrežni uređaji postaju primarna meta zbog slabih lozinki, neažuriranih sistema i slabije vidljivosti nego kod klasičnih endpoint uređaja.
Vest je važna zato što pomera fokus sa računara korisnika na infrastrukturu koja često ostaje van standardnog nadzora. Kada se kompromituju gateway uređaji, VPN tačke, ruteri ili firewall sistemi, napadač ne dobija samo resurs za DDoS ili mining, već i uporište za dalje kretanje kroz mrežu, presretanje saobraćaja i dugotrajan skriven pristup.
- Hitno proveriti da li su internet-facing ruteri, firewall uređaji, VPN sistemi i IoT oprema ažurirani i zakrpljeni
- Ukinuti slabe i podrazumevane lozinke, posebno na SSH pristupu i administrativnim interfejsima
- Ograničiti izloženost upravljačkih servisa prema internetu i dozvoliti pristup samo kroz kontrolisane kanale
- Uvesti nadzor nad mrežnim uređajima, uključujući logove, promene konfiguracije i neuobičajenu potrošnju resursa
- Proveravati znakove kompromitacije kao što su nepoznati procesi, gašenje reboot funkcija, neočekivani outbound konekcioni obrasci i rudarenje