Check Point detekoval koncem listopadu řadu útoků zneužívajících neznámou zranitelnost v zařízeních Huawei HG532.
Cílem útočníků zřejmě bylo vytvořit novou variantu botnetu Mirai, který byl v loňském v roce zodpovědný za celosvětové útoky.
Společnost Huawei se snažila vytvořit router Home Gateway tak, aby byl jednoduchý a snadno propojitelný s domácími a podnikovými sítěmi. Proto používá protokol Universal Plug and Play (UPnP) prostřednictvím technického standardu TR-064. TR-064 je navržený pro nastavení lokálních sítí a umožňuje implementovat základní konfiguraci, upgrady firmwaru a další věci v rámci interní sítě.
Výzkumníci Check Pointu zjistili, že implementace TR-064 v zařízeních Huawei bohužel umožnila vzdáleným útočníkům spouštět libovolné příkazy v zařízení. V tomto případě to byl malware OKIRU/SATORI, který byl použit k vytvoření nové varianty botnetu Mirai.
Kdo za vším stojí?
Vzhledem k rozsahu útoku, neznámé zranitelnosti nultého dne a řadě útočných serverů byla totožnost útočníka zpočátku neznámá a spekulovalo se i o zapojení států.
S velkým překvapením se ale pravděpodobně jedná o amatérského útočníka s přezdívkou ‚Nexus Zeta‘. V poslední době byl aktivní na hackerských fórech a hledal radu, jak vytvořit podobný útočný nástroj. Podle Check Pointu to ukazuje, že „kombinace uniklého malwarového kódu spolu se zneužitím špatně zabezpečených IoT zařízení může i v rukou nezkušených hackerů způsobit velké škody“.
Jakmile byla hrozba potvrzena, Check Point o zranitelnosti informoval společnost Huawei. Zranitelnost byla již záplatována.