Взломщики предлагают рекламу в рассылках через принтеры

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 6 Dec 2018.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,344
    Likes Received:
    6,509
    Reputations:
    693
    Неизвестные злоумышленники предлагают всем желающим приобрести услугу по рассылке спама на печатающие устройства по всему миру — Printer-Spam-as-a-Service. Это следует из рекламного сообщения, которое распечаталось на тысячах принтеров с незащищенными сетевыми портами.

    Первым об атаке сообщил ИБ-специалист Эндрю Моррис (Andrew Morris) — по его словам, первое подобное письмо попалось в ловушку компании GreyNoise 2 декабря, однако атака продолжилась и на следующий день.


    В своем сообщении взломщики, называющие себя экспертами партизанского маркетинга, обещают дотянуться до каждого принтера на планете при помощи «самой продвинутой вирусной кампании в истории».

    Как выяснили ИБ-аналитики, сервер, с которого шла рассылка, ранее сканировал Интернет в поисках незащищенных роутеров, уязвимых плагинов Adobe ColdFusion и memcached-площадок. Кроме того, IP-адрес злоумышленников связан с хостинг-провайдером, неоднократно размещавшим у себя фишинговые ресурсы и другие криминальные сайты.

    В разговоре с журналистами ZDNet авторы рассылки отказались отвечать на вопрос о законности своих действий и отметили, что подумывали о реализации подобной методики, но у них не доходили до нее руки. Рассылка в поддержку блогера PewDiePie мотивировала их на новую волну спама через принтеры.

    В ее рамках 29 ноября преступник под псевдонимом TheHackerGiraffe взломал более 50 тыс. принтеров, подключенных к Интернету, и распечатал на них один и тот же документ. Автор призывал получателей подписаться на канал YouTube-блогера PewDiePie и помочь последнему сохранить лидерство по количеству подписчиков. В том же письме взломщик сообщал пользователю, что принтер уязвим, и советовал залатать брешь.

    В своем твиттере злоумышленник пояснил, что собрал информацию о 800 тыс. устройств с открытыми портами 9100, IPP (Internet Printing Protocol) и LPD (Line Printer Daemon) при помощи поискового движка Shodan. Далее киберпреступник выбрал из них первые 50 тыс. и при помощи утилиты PRET (Printer Exploitation Toolkit) распечатал на них документ в формате PDF.

    Взломщик признался, что совершил атаку от скуки и изначально не знал, каким будет содержание рассылки. Поддержать PewDiePie, который рискует потерять первенство на YouTube под натиском индийского канала T-Series, злоумышленник решил непосредственно перед отправкой файла в печать.

    TheHackerGiraffe пишет, что PRET обладает рядом действительно деструктивных функций, среди которых возможность доступа к файлам и сетевым папкам, а также вывод принтера из строя. По словам взломщика, своей акцией он хотел предупредить владельцев уязвимых машин о грозящей им опасности.

    Тем не менее, авторы рекламной рассылки не использовали для нее PRET. Как признались злоумышленники, в их руках имеется высокопроизводительный и масштабируемый принт-сервер. По их словам, применение бесплатной утилиты замедлило бы и усложнило кампанию.

    Принтеры зачастую остаются вне сферы внимания ИБ-специалистов, однако могут стать одним из векторов кибератаки. Производители печатающих устройств пытаются снизить риск нападения, регулярно выпускаяпатчи и запуская программыпо поиску багов. Тем не менее, как показала кампания TheHackerGiraffe, их усилий пока недостаточно, и сотни тысяч принтеров по всему миру находятся под угрозой взлома.

     
    devton and crlf like this.
Loading...