聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Acronis 公司的安全研究员 Robert Neumann 和 Search-Lab 实验室的研究员 Gergely Eberhardt 在2021年 Virus Bulletin 安全大会上披露了该僵尸网络。
Neumann 在访谈中指出,2018年他调查发现一款具有4G功能的被黑路由器导致机主支付巨额账单,而这些账单是通过插入设备的一张SIM卡发出的SMS信息造成的。当年5月,他开始深挖该僵尸网络。
之后他发现了自己整个职业生涯中最具挑战性和错综复杂的结果。调查持续三年之久并涉及从多名受害者处收集线索和日志,以便拼凑出该僵尸网络发动的攻击活动。
第一步是了解黑客如何入侵。Neumann 表示僵尸网络的运作线索表明该威胁组织可能利用了在2015年公开的一个漏洞。该漏洞可用于访问 TP-Link 路由器上的文件,而这些路由器和僵尸网络中被黑的路由器一样,并无需首先进行验证。
Neumann 表示他复现的一个 exploit 利用上文提到的在2015年发现的缺陷,访问了该路由器的其中一个 LTE 函数。该函数负责“发送 SMS 信息、读取进出站的 SMS 队列、收集SIM锁信息并修改 LAN 和时间设置。”
他指出该接口仅出现在具有4G能力的 TP-Link MR6400 上。安装该路由器的目的是为无法使用有线或光纤电缆的地方提供互联网访问权限。
虽然该漏洞已从该路由器机型固件的后续版本中删除,但 Neumann 表示当时互联网上存在数千台设备,而且直到今天其中很多设备并未修复。
Neumann 表示,“在2016年发现该漏洞的人一年多以来,通过运行和足球主题相关活动利用该漏洞。”
理论上,威胁行动者劫持了这些路由器,将其组织到易于控制的僵尸网络中,并开始提供能够将便宜 SMS 信息发送到多种实体的能力。
虽然 Neumann 表示无法追踪到关于该服务的任何广告信息,但大量发送 SMS 信息的活动表明大量客户乐意为此付费而不是使用更加昂贵的、由合法电信提供商提供的SMS网关服务器。
目前尚不清楚该僵尸网络由谁构建,正如 Neumann 指出这些被黑的路由器的创建人“完全匿名”,只想将其快速变现。
Neumann指出,“对这些服务的利用并未停止;然而,和2018年出现的高峰相比多年来已经大幅减少。这种降低的原因可能是网络犯罪分子缺少兴趣、设备固件升级到不易受影响版本并升级到市场份额更大的新的易受攻击机型、或者SIM卡启用了特定的阻止发送SMS发送功能。”
这项研究也是Neumann 第二次对过去僵尸网络的深入研究。作为IoT网络安全的考古学家,他此前发现并写了现已不起作用的僵尸网络 Cereals。八年来该僵尸网络被用于从文件共享门户下载卡通。
https://therecord.media/botnet-abuses-tp-link-routers-for-years-in-sms-messaging-as-a-service-scheme/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~