Сегодня 06 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры взломали одну из функций протокола IPv6 и перехватывают обновления ПО

Хакерская группировка TheWizards развернула кампанию с использованием уязвимости в SLAAC — одной из функций сетевого протокола IPv6, которая активно применяется злоумышленниками для взлома ресурсов определённых организаций и перехвата обновлений ПО. Кампанию обнаружили эксперты ESET.

 Источник изображения: Glen Carrie / unsplash.com

Источник изображения: Glen Carrie / unsplash.com

В ходе атаки злоумышленники используют программное средство Spellbinder, которое отправляет на ресурсы своих целей поддельные сообщения Router Advertisement (RA). Получив такое сообщение, целевое устройство воспринимает подконтрольный хакерам сервер как маршрутизатор и направляет через него весь свой трафик. Атака построена на манипулировании процессом Stateless Address Autoconfiguration (SLAAC), поэтому она получила название «подмена SLAAC» (SLAAC spoofing).

Получив контроль над трафиком, хакеры TheWizards при помощи Spellbinder перехватывают запросы устройств к доменам с обновлениями ПО и перенаправляют их. В результате жертвы получают обновления с троянами, в частности, с бэкдором WizardNet. Злоумышленники пользуются удалённым доступом к устройствам цели, осуществляют взаимодействие с ними через зашифрованные сокеты TCP или UDP и используют SessionKey на основе системных идентификаторов для шифрования AES. WizardNet загружает и выполняет в памяти модули .NET, извлекает системные данные, составляет список запущенных процессов и поддерживает присутствие.

Кампания активна как минимум с 2022 года, утверждают эксперты ESET; целями являются частные лица и организации преимущественно в Китае, Гонконге, Камбодже, ОАЭ и на Филиппинах. Есть версия, что сервер с поддельными обновлениями продолжает работать и в настоящий момент. Программа Spellbinder отслеживает обращения к доменам Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 и Baofeng. Единственный способ защититься от атаки — отслеживать трафик IPv6 или отключать протокол, если в нём нет явной потребности, заявили в ESET.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Rockstar разразилась подробностями GTA VI — 70 новых скриншотов 23 мин.
После 20 лет скитаний по волнам разработки легендарный российский экшен «Приключения Капитана Блада» всё-таки вышел на ПК и консолях 37 мин.
Журналисты показали 13 минут из сюжетного дополнения RoboCop: Rogue City — Unfinished Business, включая первый геймплей за Алекса Мёрфи 2 ч.
Хакеры взломали одну из функций протокола IPv6 и перехватывают обновления ПО 3 ч.
Второй трейлер Grand Theft Auto VI: ограбления, погони и любовь под палящим солнцем Вайс-Сити 3 ч.
Взломан защищённый мессенджер TeleMessage — им пользовались в правительстве США 4 ч.
Google представила план оздоровления рынка интернет-рекламы без развала своего бизнеса 4 ч.
Clair Obscur: Expedition 33 продаётся быстрее Kingdom Come: Deliverance 2 — разработчики похвастались новыми успехами игры 5 ч.
«Билайн» готовит российский сервис ИИ-инференса на отечественном оборудовании 6 ч.
Виталик Бутерин предложил сделать Ethereum «простым как биткоин», но это займёт время 7 ч.