*

Παρατηρήθηκαν κρούσματα του BlueKeep σε παλαιότερα συστήματα Windows

Παρότι η Microsoft αποκάλυψε το ελάττωμα τον Μάιο, σύμφωνα με ερευνητές ασφάλειας, πάνω 700.000 υπολογιστές που συνδέονται με το Διαδίκτυο εξακολουθούν να είναι ευάλωτοι στην απειλή.

Ένας χάκερ εκμεταλλεύεται μια σοβαρή ευπάθεια σε συστήματα που τρέχουν παλαιότερες εκδόσεις των Windows, που τόσο η Microsoft όσο και η NSA έχουν προειδοποιήσει ότι θα μπορούσε να οδηγήσει σε μια πανδημία.

Ευτυχώς, οι επιθέσεις έχουν επικεντρωθεί μόνο στην εγκατάσταση ενός cryptominer, σύμφωνα με τον Kevin Beaumont, ερευνητή ασφάλειας που παρατήρησε τη δραστηριότητα το Σαββατοκύριακο.

Η ευπάθεια, που ονομάζεται BlueKeep, επηρεάζει τα μη ενημερωμένα συστήματα που τρέχουν Windows 7, Vista, XP, Windows Server 2003 και 2008 που έχουν ενεργοποιήσει τη λειτουργία “Απομακρυσμένης Επιφάνειας Εργασίας”. Κάτι που επιτρέπει σε όποιον αποκτήσει πρόσβαση σε έναν τέτοιο υπολογιστή, να τροποποιήσει ή να διαγράψει δεδομένα και να εγκαταστήσετε νέα προγράμματα.

Αυτό που κάνει το BlueKeep τρομακτικό είναι το γεγονός ότι λειτουργεί χωρίς καμία αλληλεπίδραση από τον χρήστη του υπολογιστή. Ως αποτέλεσμα, ένας χάκερ θα μπορούσε θεωρητικά να δημιουργήσει ένα κομμάτι κακόβουλου λογισμικού για την αναζήτηση ευάλωτων συστημάτων Windows στο διαδίκτυο και να προσπαθήσει να τα μολύνει όλα.

Η Microsoft αποκάλυψε και διόρθωσε το ελάττωμα τον Μάιο, αλλά σύμφωνα με ερευνητές ασφάλειας πάνω 700.000 υπολογιστές που συνδέονται με το Διαδίκτυο εξακολουθούν να είναι ευάλωτοι στην απειλή.

Για να ελέγξει εάν οι χάκερ θα εκμεταλλευτούν την ευπάθεια, ο Beaumont δημιούργησε μερικά "honeypots", δηλαδή εικονικούς υπολογιστές (Virtual Machines) ευάλωτους στο ελάττωμα, οι οποίοι συνδέονταν στο διαδίκτυο. Επί μήνες, δεν υπήρχε δραστηριότητα, αλλά το Σάββατο, ο Beaumont δήλωσε ότι τελικά κάποιος είχε πάρει πρόσβαση στα μηχανήματα χρησιμοποιώντας την ευπάθεια BlueKeep, η οποία τα crashαρε στις 23 Οκτωβρίου.

Μια πιο προσεκτική εξέταση έδειξε ότι όλα, εκτός από ένα honeypot, του Beaumont είχαν διακυβευτεί μέσω της ευπάθειας του BlueKeep, "συνήθως πολλές φορές την ημέρα", έγραψε σε blog.

Ο Beaumont, λοιπόν, ζήτησε από έναν άλλο ερευνητή ασφαλείας, τον Marcus Hutchins, ο οποίος βοήθησε να σταματήσει η επιδημία του WannaCry, να αναθεωρήσει τα αρχεία καταγραφής από τα crashαρισμένα του μηχανήματα και τελικά η ανάλυση αποκάλυψε ότι ο μυστηριώδης επιτιθέμενος είχε κατεβάσει απλά ένα cryptominer.

"Μέχρι στιγμής, το περιεχόμενο που παραδίδεται με το BlueKeep φαίνεται να είναι ένα cryptominer, που δεν είναι ακριβώς μια μεγάλη απειλή", γράφει ο Beaumont στο blog του. Το λογισμικό εξόρυξης λειτουργεί ουσιαστικά ως παράσιτο. Θα κλέψει τους πόρους του συστήματος σας για να δημιουργήσει ένα εικονικό νόμισμα, το οποίο στη συνέχεια αποστέλλεται στους χάκερς. Στη χειρότερη περίπτωση, οι υπολογιστές που θα χτυπηθούν με το cryptominer θα τρέχουν πιο αργά και θα καταναλώνουν περισσότερο ρεύμα. Αλλά τουλάχιστον παραμένουν λειτουργικοί, με τα δεδομένα τους άθικτα.

Σύμφωνα με τον Hutchins, φαίνεται ότι ο ένοχος απλά στοχεύει σε ευάλωτα συστήματα που τρέχουν Windows σε μια ευρεία κλίμακα βάσει μιας λίστας διευθύνσεων IP.

Ο χάκερ χρησιμοποίησε το εργαλείο Metasploit, το οποίο οι ερευνητές ασφαλείας δημοσίευσαν το Σεπτέμβριο για να βοηθήσουν τους οργανισμούς να ελέγξουν αν ήταν ευάλωτοι στο ελάττωμα του BlueKeep. Το ίδιο εργαλείο όμως αποδείχτηκε δίκοπο μαχαίρι, καθώς ένας χάκερ μπορεί να το χρησιμοποιήσει για να βρει ευάλωτα συστήματα. Ευτυχώς, το Metasploit δεν διαθέτει ενσωματωμένη λειτουργία αυτόματης στόχευσης για την κατάχρηση του BlueKeep, οπότε οι χάκερς θα πρέπει να καθορίσουν με μη αυτόματο τρόπο το στόχο τους.

Το περίεργο είναι ότι ο μυστηριώδης ένοχος πίσω από τις επιθέσεις σταμάτησε μετά την δημοσίευση της, όπως και όλη η δραστηριότητα που σχετίζεται με το BlueKeep στα honeypots του Beaumont.

Παρ 'όλα αυτά, ο Beaumont προειδοποιεί ότι μπορεί να είναι μόνο θέμα χρόνου πριν μια πιο σοβαρή επίθεση χτυπήσει και άλλους υπολογιστές. "Είναι σαφές ότι οι άνθρωποι τώρα καταλαβαίνουν πώς να εκτελέσουν επιθέσεις σε τυχαίους στόχους και αρχίζουν να το κάνουν", είπε. "Αυτή η δραστηριότητα δεν με κάνει να ανησυχώ, αλλά κάτι μου λέει ότι αυτό θα επιδεινωθεί, αργότερα”, δήλωσε.

Πολλές επιχειρήσεις, οργανισμοί και κυβερνητικές υπηρεσίες σε όλο τον κόσμο εξακολουθούν να χρησιμοποιούν παλαιότερα συστήματα Windows. Επομένως, πιθανότατα παραμένουν πιο ευάλωτοι στόχοι.

Τα patches για να διορθώσετε το ελάττωμα είναι διαθέσιμα στον ιστότοπο της Microsoft. Ωστόσο, τα λειτουργικά συστήματα των Windows 8 και των Windows 10 παραμένουν ασφαλή έναντι της απειλής. Οι ιδιοκτήτες μπορούν επίσης να απενεργοποιήσουν την λειτουργία απομακρυσμένης επιφάνειας εργασίας για να προφυλαχθούν από την ευπάθεια.

About Κώστας Δεσίπρης