Μια μαζική επίθεση που στοχεύει συσκευές δικτύου σε όλο τον κόσμο είναι σε εξέλιξη και ακόμα πιο ανησυχητικό είναι το γεγονός ότι πρόκειται πιθανότατα για ενορχηστρωμένη ενέργεια.

Κάθε μέρα, εκατομμύρια διευθύνσεις IP προσπαθούν να εξαναγκάσουν την πρόσβαση σε αυτές τις συσκευές προσπαθώντας να μαντέψουν τα αναγνωριστικά σύνδεσης. Οι χάκερς έχουν βρει έναν τρόπο να παρακάμπτουν τους μηχανισμούς άμυνας και να αποφεύγουν τον αποκλεισμό…

Σύμφωνα με το Bleeping Computer, βρίσκεται σε εξέλιξη μια επίθεση εναντίον ενός ευρέος φάσματος δικτυακών συσκευών. Από τον περασμένο μήνα, περιφερειακές συσκευές ασφαλείας, όπως τείχη προστασίας και VPN (Virtual Private Networks), έχουν υποστεί ένα κύμα βiαιωv επιθέσεων.

Large increase in web login brute forcing attacks against edge devices seen last few weeks in our honeypots, with up to 2.8M IPs per day seen with attempts (especially Palo Alto Networks, Ivanti, SonicWall etc). Over 1M from Brazil. Source IPs shared in https://t.co/kapIq2pIBI pic.twitter.com/LMhFEvAEEL

— The Shadowserver Foundation (@Shadowserver) February 7, 2025

Αυτός ο τύπος κυβερνοεπίθεσης περιλαμβάνει τη δοκιμή πολλαπλών συνδυασμών αναγνωριστικών μέχρι να βρεθεί ο σωστός. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτοματοποιημένα προγράμματα για τη δοκιμή των συνδυασμών. Αυτά είναι τα ευρήματα των στοιχείων που συγκέντρωσε το The Shadowserver Foundation, ένας μη κερδοσκοπικός οργανισμός που ειδικεύεται στην καταπολέμηση του εγκλήματος στον κυβερνοχώρο.

Η ένωση σημείωσε μια "απότομη αύξηση των επιθέσεων σύνδεσης στο διαδίκτυο με ωμή βiα κατά συσκευών άκρων" τις τελευταίες εβδομάδες. Η επίθεση, η οποία δεν ξεκίνησε πρόσφατα, είδε μια αναζωπύρωση της δραστηριότητας. Μεταξύ των αγαπημένων στόχων των επιτιθέμενων είναι οι συσκευές δικτύου των Palo Alto Networks, Ivanti και SonicWall.

2,8 εκατομμύρια εμπλεκόμενες διευθύνσεις IP

Η κλίμακα της επίθεσης είναι ιδιαίτερα ανησυχητική. Σύμφωνα με το Ίδρυμα Shadowserver, οι απόπειρες σύνδεσης προήλθαν από σχεδόν 2,8 εκατομμύρια διευθύνσεις IP σε όλο τον κόσμο.

Οι περισσότερες διευθύνσεις προέρχονται από τη Βραζιλία, την Τουρκία, τη Ρωσία, την Αργεντινή, το Μαρόκο και το Μεξικό.

Για να ενορχηστρώσουν την επίθεση, οι χάκερ χρησιμοποίησαν κυρίως συσκευές που είχαν παραβιαστεί από ένα botnet, όπως δρομολογητές των MikroTik, Huawei, Cisco, Boa και ZTE. Αυτές περιήλθαν υπό τον έλεγχο ενός κακόβουλου δικτύου μετά την ανάπτυξη κακόβουλου λογισμικού. Για να επιτύχουν τους σκοπούς τους, ο ιός εκμεταλλεύεται γενικά τα κενά ασφαλείας. Αυτός είναι ο λόγος για τον οποίο οι χάκερς επιτίθενται συχνότερα σε απαρχαιωμένους ή τελειωμένους δρομολογητές που δεν έχουν ενημερώσεις ασφαλείας. Υπό τον έλεγχο των χάκερ, οι δρομολογητές μπορούν να χρησιμοποιηθούν για να βομβαρδίζουν περιφερειακές συσκευές με προσπάθειες σύνδεσης. Το botnet είναι ένα από τα βασικά όπλα στο οπλοστάσιο των κυβερνοεγκληματιών.

Πώς αποφεύγουν οι χάκερ να μπλοκαριστούν;

Για να αποφύγουν τον αποκλεισμό των προσπαθειών τους, οι χάκερ χρησιμοποιούν οικιακά δίκτυα μεσολάβησης. Πρόκειται για μια διεύθυνση IP που συνδέεται με έναν πραγματικό χρήστη που έχει εγγραφεί σε έναν πάροχο υπηρεσιών διαδικτύου. Αυτό το τέχνασμα καθιστά δυνατή την εξαπάτηση των μηχανισμών ασφαλείας, οι οποίοι υποτίθεται ότι διασφαλίζουν ότι τα αιτήματα σύνδεσης δεν προέρχονται από ένα ρομπότ ή ένα δίκτυο παραβιασμένων συσκευών. Σε αντίθεση με τα παραδοσιακά proxies που φιλοξενούνται σε διακομιστές, αυτές οι διευθύνσεις IP είναι πιο δύσκολο να εντοπιστούν και να μπλοκαριστούν.

Για την προστασία των περιφερειακών συσκευών από επιθέσεις brute force, είναι σημαντικό να επιλέγετε έναν σύνθετο κωδικό πρόσβασης που είναι δύσκολο να μαντέψει κάποιος. Αυτό θα δυσκολέψει τους εγκληματίες να χρησιμοποιήσουν τα προγράμματά τους. Επίσης, συνίσταται σε όλους τους χρήστες να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων και να περιορίζουν τις συνδέσεις εξουσιοδοτώντας μόνο ορισμένες αξιόπιστες διευθύνσεις IP. Τέλος, είναι σημαντικό να εγκαταστήσετε όλες τις διαθέσιμες ενημερώσεις ή να αλλάξετε τη συσκευή σας, αν είναι παλιά.