Som TechWorld skrev i en tidigare artikel utnyttjar hackare en fem år gammal bugg i UPnP-protokollet för att infektera hemma- och småföretagsroutrar i syfte att bygga botnät. Nu har nätverksjätten Akamai upptäckt en ny variant som öppnar routern så att hackarna kan nå datorer och andra uppkopplade enheter på lan-sidan, rapporterar ZDNet.

Hackarna lyckas med sina tilltag genom att utnyttja en teknik som kallas UPnProxy. Detta bygger på nyttjandet av sårbarheter i de UPnP-tjänster som finns installerat på många bredbandsroutrar. Hacket går ut på att ändra reglerna i routerns nat-tabell. Nat är ett protokoll för att översätta interna ip-adresser till externa ip-adresser då användarna oftast bara får en extern ip-adress från sina operatörer.

Dessa regler fungerar fortfarande som vanligt, men istället för att omdirigera trafiken som hackarna behagar så ändras reglerna så att hackarna kan koppla upp sig mot smb-protokollets tcp-portar (139 och 445) på enheter på nätverkets lan-sida.

Experterna på Akamai säger att av de 277 000 routrar de kan se som är sårbara för attacken, har över 45 000 redan infekterats genom att hackarna lyckats injektera en nat-regel de kallar "galleta silenciosa”, eller "tyst kaka/cookie” på spanska. Vad Akamai kan se har hackarna lyckats koppla upp 1,7 miljoner enheter genom smb-portarna.

Vad hackarna sedan tar sig till kan Akamai inte svara på då de inte kan se vad som händer inne i de infekterade nätverken. Men de säger att de är ganska säkra på att dessa injektioner har något att göra med EternalBlue, skadlig kod som ursprungligen utvecklades av den amerikanska säkerhetstjänsten NSA, och som läckte ut förra året. Denna kod har tidigare använts i de förödande utbrotten av gisslanprogrammen WannaCry och NotPetya.

Akamai skriver vidare att, vad de kan se, är detta inte fråga om riktade attacker, utan mer av ett test att sprida koden slumpmässigt i syfte att hitta tillgängliga enheter. Det senaste året har EternalBlue, eller dess olika varianter, används för att skapa kryptokapningar som används av hackare för att bryta kryptovalutor. Det kan vara så att det är detta hackarna är ute efter även med dessa attacker.

De som inte vill råka ut för detta, eller ännu värre problem, bör stänga av UPnP-tjänsten helt och hållet eller skaffa en modernare router. I slutet av Akamais rapport finns instruktioner för hur man tar bort de skadliga reglerna i nat-tabellen.

Läs också:
116 modeller av hemmaroutrar i nyupptäckt botnät – här är hela listan
Tyskland vill införa lagkrav på hur en router ska konfigureras