Проведя бессоные ночи в поисках новых уязвимостей, мы их обнаружили. И обнаружили в сети Tor. Это - общедоступный IP-адрес скрытых сайтов Tor, идентифицированных через SSL-сертификаты.
Сегодня в мире миллионы людей используют Tor. Половина пользователей зависит от этой сети. Для того, чтобы спокойно и анонимно вести деятельность в теневом пространстве, необходимо прибегать к помощи лукового маршрутизатора, но как показывают данные, просто скачать и запустить трафик через Tor мало. Необходимо правильно настроить соединение и соблюдать правила анонимности.Даже Tor не может дать нам 100% безопасность. Пользователи Tor могут неправильно использовать инструменты для доступа в теневую сеть, за что расплачиваются деанонимизацией и вытекающими последствиями.
Джонатан Клидман, исследователь угроз кибербезопасности в фирме RiskIQ, недавно нашел способ идентифицировать публичные IP-адреса неверно сконфигурированных скрытых сервисов Tor.
Это открытие подчеркивает опасность неправильной настройки Tor, цель которого, давать полную анонимность и безопасность своим пользователям. Правильная настройка предполагает только локальный адрес (127.0.0.1), а не IP-адрес, доступный для общественности посредством сети интернет.
Джонатан обнаружил, что на в сети Tor есть множество сайтов, которые используют SSL-сертификаты и имеют скрытые сервисы, доступные через интернет, которые не настроены должным образом. Неверная конфигурация Tor - одна из основных проблем
Компания RiskIQ провела мониторинг сайтов теневой сети. Любой сертификат SSL, который удавалось обнаружить исследователям, связан с его IP-адресом. Особых усилий, чтобы связать неправильно сконфигурированные сервисы Tor с их общедоступными IP-адресами прилагать не нужно. Это исследование указывает на то большое количество скрытых сервисов Tor с открытыми общедоступными IP-адресами. Многие даркнет пользователи восприняли данную новость, как провокацию и нападение на Тор. Но сотрудники RiskIQ быстро прояснил цель своего исследования. И подчеркнули различия в безопасности при настройке хоста для серверов 127.0.0.1 и 0.0.0.0. Также сертификаты SSL могут способствовать уязвимости в сети Tor. SSL является основой безопасного интернета и служит для защиты конфиденциальной информации. Недостаток SSL в отношении анонимности здесь заключается в том, что сертификаты могут помочь идентифицировать публичные IP-адреса сайтов в темной сети. Когда администратор скрытой службы Tor включает сертификат SSL на свой веб-сайт, домен .onion связан с сертификатом.Если оператор неправильно сконфигурирует сайт Tor таким образом, что он прослушивает открытый IP-адрес, этот сертификат с доменом .onion также будет использоваться для IP-адреса. Уязвимости MikroTik
Исследователи из компании China's Netlab 360 заявили про обнаружение тысяч зараженных зловредным ПО роутеров, производителем которых является латвийская компания MikroTik. Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы.
Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет — многие компании и обычные частные пользователи просто не обращают внимание на этот аспект. Что касается общего количества роутеров, то компрометации подверглось около 7,5 тысяч устройств (то, что обнаружили эксперты). Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.
Злоумышленники собирают данные пользователей взломанных устройств, перенаправляя полученную информацию на свои сервера. К слову, около 239 тысяч роутеров превращены в SOCKS 4 прокси, которые легко доступны.
Что касается компании MikroTik, то она предоставляет беспроводное оборудование и программное обеспечение для него, поставляя системы как бизнесу, так и частным лицам. Устройства латвийской компании активно используют крупные поставщики сетевых услуг. Больше всего устройств этого производителя физически находится в Бразилии и России. Немало их и в США.
Еще одна атака, обнаруженная командой Netlab 360, превратила взломанные сетевые устройства в зловредную прокси-сеть, использующую протокол SOCKS4 для нестандартного TCP порта (4153). И доступ в этом случае открыт только для устройств из очень ограниченного диапазона IP-адресов, 95.154.216.128/25. Практически весь трафик направлялся на 95.154.216.167, адрес, который привязан к хостинг-сервису, который расположен в Великобритании.
Пока что неясно, для чего именно используются взломанные ротуеры. Возможно, для того, чтобы заниматься поиском других уязвимых устройств.
Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов. 7500 скомпрометированных роутеров, о которых говорилось выше, перенаправляли сетевой трафик, в основном, FTP и e-mail. Также замечено небольшое количество данных, связанных с удаленным управлением сетевыми устройствами, но для узкой выборки IP. Большинство пакетов данных направляются на IP провайдера из Белиза. Атака на Dlink В прошлом месяце стало известно о группе злоумышленников, которая эксплуатировала уязвимость в роутерах другого производителя — Dlink. В этом случае киберпреступники могли удаленно изменять настройки DNS-сервиса роутера для того, чтобы перенаправлять пользователя устройства на ресурс, который создан самими хакерами.
Уязвимости подвержены такие модели роутеров, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Выше уже говорилось, что за обновлением ПО роутеров мало кто следит, кроме организаций, где это критически важно (и то, не всегда), так что скомпрометированные роутеры могут работать в течение очень долгого времени без обнаружения проблемы. Августовская атака на Dlink была направлена на клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco.
Злоумышленники подделывали сайты банков и перенаправляли пользователей на копии. В результате ничего не подозревающие жертвы вводили данные доступа и тем самым передавали эту информацию киберпреступникам.