2min

Akamai heeft een opvallende nieuwe malwarecampagne ontdekt. De hackers die erachter zitten veranderen de instellingen van thuis- en kantoorrouters. Daardoor kunnen ze een verbinding leggen met interne netwerken en eerder geïsoleerde apparaten ook infecteren.

Er zijn volgens Akamai zo’n 277.000 routers met deze kwetsbare UPnP-diensten te vinden. 45.113 daarvan zijn door deze nieuwe campagne geïnfecteerd. Het lijkt er volgens de onderzoekers op dat er één hacker, of een groep hackers, achter zit, wiens hackwerk groot succes heeft. Er zouden al “miljoenen succesvolle injecties” plaatsgevonden hebben.

NAT-tabellen misbruiken

De hackers kunnen dat volgens Akamai realiseren via een techniek die bekend staat als UPnProxy. De techniek, die overigens in april dit jaar ontdekt werd, maakt gebruik van kwetsbaarheden in de UPnP-diensten die op diverse routers staan. De hackers wijzigen daarbij specifiek de Network Address Translation (NAT) tabellen.

NAT-tabellen zijn in feite een set regels die beheren hoe IP’s en ingangen van het interne netwerk van een router zich tot het grotere netwerksegment (gewoonlijk het internet) verhouden. In april gebruikten hackers de techniek om routers te veranderen in proxies voor regulier webverkeer, maar een nieuwe variant stelt de hackers ertoe in staat de regels van de NAT-tabellen te wijzigen. Daardoor kan een externe hacker verbinding maken met de SMB-ports (139, 445) van apparaten en computers op het interne netwerk.

Maar waarom?

Akamai weet niet wat de hackers vervolgens op de netwerken gedaan hebben. Dat komt omdat het bedrijf geen toegang heeft tot de achterliggende netwerken. Maar het bedrijf weet wel vrijwel zeker dat de injecties te maken hebben met EternalBlue, malware die ontwikkeld is door de Amerikaanse National Security Agency. EternalBlue belandde vorig jaar op het internet en lag al aan de basis van WannaCry en NotPetya.

Al met al lijkt het er niet op dat het een hackaanval vanuit een overheid is. In plaats daarvan denkt Akamai dat het geen gerichte aanval gaat en dat de hackers lijken te hopen een groot aantal apparaten te infecteren, met name eerder onbereikbare apparaten. Vermoedelijk, maar dat is speculatie, gebruiken de hackers die apparaten vervolgens om cryptocurrencies mee te minen.