Experti společnosti Check Point detekovali novou hrozbu 23. listopadu, po dalším zkoumání pak odhalili řadu útoků využívajících neznámou zranitelnost v zařízeních Huawei HG532 po celém světě, zejména v USA, Francii, Itálii, Německu a Egyptě, ale také v celé řadě dalších zemí. Cílem bylo vytvořit novou variantu botnetu Mirai, který byl mimo jiné v loňském v roce zodpovědný za celosvětové útoky.

Jak to funguje?

Huawei se snažil vytvořit router Home Gateway tak, aby byl jednoduchý a snadno propojitelný s domácími a podnikovými sítěmi. Proto používá protokol Universal Plug and Play (UPnP) prostřednictvím technického standardu TR-064. TR-064 je navržený pro nastavení lokálních sítí a umožňuje implementovat základní konfiguraci, upgrady firmwaru a další věci v rámci interní sítě.
Výzkumníci Check Pointu zjistili, že implementace TR-064 v zařízeních Huawei bohužel umožnila vzdáleným útočníkům spouštět libovolné příkazy v zařízení. V tomto případě to byl malware OKIRU/SATORI, který byl použit k vytvoření nové varianty botnetu Mirai.

Kdo za vším stojí?

Vzhledem k působivému rozsahu útoku, neznámé zranitelnosti nultého dne a řadě útočných serverů byla totožnost útočníka zpočátku obestřena tajemstvím a spekulovalo se o zapojení států nebo nějakém nechvalně proslulém kybergangu.
S velkým překvapením se ale pravděpodobně jedná o amatérského útočníka s přezdívkou ‚Nexus Zeta‘, který zřejmě stojí za tímto novým pokusem o vytvoření botnetu. V poslední době byl aktivní na hackerských fórech a hledal radu, jak vytvořit podobný útočný nástroj. Což ukazuje, že kombinace uniklého malwarového kódu spolu se zneužitím špatně zabezpečených IoT zařízení může i v rukou nezkušených hackerů způsobit velké škody.

Jakmile byla hrozba potvrzena, Check Point o zranitelnosti informoval společnost Huawei. Díky rychlé a efektivní komunikaci bezpečnostního týmu Huawei byla zranitelnost rychle záplatována. Současně produktové týmy Check Point vyvinuly a vydaly IPS ochranu, aby zákazníci společnosti Check Point měli ochranu jako první.

Více informací najdete na blogu společnosti Check Point:

https://blog.checkpoint.com/2017/12/21/huawei-routers-exploited-create-new-botnet/

https://research.checkpoint.com/good-zero-day-skiddie/