Przepustowość można też kraść i czerpać z tego duże zyski

Informatycy z firmy Cisco ostrzegają przed nową aktywnością cyberprzestępców polegającą na atakowaniu internetowych platform znanych pod nazwą proxyware. Platforma taka pozwala użytkownikowi wydzielić pewną część przepustowości, jaką dysponuje w ramach świadczonej mu usługi dostępu do internetu, do innych celów, np. do obsługi różnych urządzeń czy aplikacji.

Proxyware

W typowym scenariuszu ataku haker zagnieżdża najpierw złośliwy kod w pakiecie pełniącym rolę oprogramowania klienckiego proxyware. W kolejnym kroku pakiet taki instalowany jest na komputerze ofiary (która nie jest tego oczywiście świadoma).

Wtedy haker rejestruje oprogramowanie pod stworzonym przez siebie kontem i aktywuje klienta proxyware, który zaczyna sprzedawać przepustowość ofiary bez jej wiedzy. W niektórych przypadkach hakerzy potrafią nawet łatać system takiego klienta, po to aby zablokować ewentualne ostrzeżenia, które mogłyby zaalarmować ofiarę.

Zobacz również:

  • Jak CISO i CIO powinni dzielić się odpowiedzialnością za cyberbezpieczeństwo
  • Użytkownicy tych routerów Cisco muszą się mieć na baczności
  • Ataki ransomware coraz większym zagrożeniem

Wszelkie działania prowadzone z wykorzystaniem skradzionej przepustowości są ukryte pod adresem IP ofiary. Dzięki temu wydaje się, że pochodzą one z sieci godnych zaufania, co usypia czujność specjalistów ds. cyberbezpieczeństwa i utrudnia dostosowanie konwencjonalnych systemów bezpieczeństwa, które analizują m.in. listę zablokowanych adresów IP.

Popularność platform proxyware gwałtownie wzrosła w ciągu ostatnich kilku lat i specjaliści do spraw bezpieczeństwa z firmy Cisco twierdzą, że liczba ataków ciągle rośnie i cyberprzestępcy mogą monetyzować przepustowość sieci bez wiedzy użytkowników. Robią to najczęściej w oparciu o platformy umożliwiające dzielenie się ruchem sieciowym, jak Honeygain, IPRoyal Pawns, Nanowire, Peer2Profit czy PacketStream. Skradzioną przepustowość wykorzystują wtedy równie na potrzeby kopania kryptowalut.

Eksperci Cisco podkreślają, że istnieją także platformy, które umożliwiają dzielenie się ruchem sieciowym wprost z centrum danych. Dlatego warto, aby organizacje rozważyły wprowadzenie zakazu korzystania z platform typu proxyware w pracy.

Punkty końcowe nie powinny nawiązywać połączenia z sieciami za ich pośrednictwem. Specjaliści Cisco Talos rekomendują wdrożenie kompleksowych mechanizmów zapewniających bezpieczne logowanie i dystrybuujących alerty, aby zapewnić efektywne lokalizowanie i odpowiadanie na przypadki prób połączenia z proxyware, gdyż może to świadczyć o tym, że doszło do ataku.


TOP 200