Сегодня 31 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры взломали одну из функций протокола IPv6 и перехватывают обновления ПО

Хакерская группировка TheWizards развернула кампанию с использованием уязвимости в SLAAC — одной из функций сетевого протокола IPv6, которая активно применяется злоумышленниками для взлома ресурсов определённых организаций и перехвата обновлений ПО. Кампанию обнаружили эксперты ESET.

 Источник изображения: Glen Carrie / unsplash.com

Источник изображения: Glen Carrie / unsplash.com

В ходе атаки злоумышленники используют программное средство Spellbinder, которое отправляет на ресурсы своих целей поддельные сообщения Router Advertisement (RA). Получив такое сообщение, целевое устройство воспринимает подконтрольный хакерам сервер как маршрутизатор и направляет через него весь свой трафик. Атака построена на манипулировании процессом Stateless Address Autoconfiguration (SLAAC), поэтому она получила название «подмена SLAAC» (SLAAC spoofing).

Получив контроль над трафиком, хакеры TheWizards при помощи Spellbinder перехватывают запросы устройств к доменам с обновлениями ПО и перенаправляют их. В результате жертвы получают обновления с троянами, в частности, с бэкдором WizardNet. Злоумышленники пользуются удалённым доступом к устройствам цели, осуществляют взаимодействие с ними через зашифрованные сокеты TCP или UDP и используют SessionKey на основе системных идентификаторов для шифрования AES. WizardNet загружает и выполняет в памяти модули .NET, извлекает системные данные, составляет список запущенных процессов и поддерживает присутствие.

Кампания активна как минимум с 2022 года, утверждают эксперты ESET; целями являются частные лица и организации преимущественно в Китае, Гонконге, Камбодже, ОАЭ и на Филиппинах. Есть версия, что сервер с поддельными обновлениями продолжает работать и в настоящий момент. Программа Spellbinder отслеживает обращения к доменам Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 и Baofeng. Единственный способ защититься от атаки — отслеживать трафик IPv6 или отключать протокол, если в нём нет явной потребности, заявили в ESET.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
InnoGrit представила SSD серии N3X — альтернативу Intel Optane с показателем IOPS до 3,5 млн 32 мин.
OpenYard представила серверы RS102I и RS202I на базе Intel Xeon Emerald Rapids 46 мин.
Илон Маск начал проталкивать в США закон о беспилотном транспорте 2 ч.
1 000 000 Гбит/с на 1800 км: японцы установили рекорд скорости передачи данных по почти обычному оптоволокну 2 ч.
Synopsys уже прекратила обслуживать разработчиков чипов на территории Китая 5 ч.
TSMC рассматривает возможность строительства в ОАЭ предприятия по производству чипов 7 ч.
Microsoft отложила разработку портативной Xbox и сосредоточится на консолях партнёров 14 ч.
Китайская XPeng выпустила электромобиль MONA M03 Max за $20 000 с бесплатными автопилотом 16 ч.
Dreame представила в России флагманские роботы-пылесосы, ручные пылесосы, газонокосилку и очиститель воздуха 17 ч.
Цены на память DRAM подскочили ещё на 20 %, так как производители электроники запасаются впрок 18 ч.