Több tízezer wifi routert veszélyeztet a 2014-ben felfedezett Gafgyt malware egy új változata, amit a Palo Alto Networks kutatói azonosítottak. A korszerűsített malware ismert sebezhetőségeket használ ki, hogy a routereket elosztott szolgáltatásmegtagadási (DDoS) támadásokra alkalmas bothálózatba kapcsolja.

Támadáskor a konkurenseket is kinyírja

A károkozó elsősorban az otthoni és kis irodai kategóriájú routereket keresi egy sima szkenfunkcióval. A biztonsági kutatók szerint három típus, a Huawei HG532, a Realtek RTL81XX és Zyxel P660HN-T1A különösen ki van téve a támadásoknak.

De a legérdekesebb tulajdonsága, hogy nem csak fertőz, hanem megtámadja a konkurens malware-eket is. Van egy közvetlen vetélytársa, a JenX, amely szintén botnetet épít, és ugyanazokat a Huawei és a Realtek routereket támadja, mint a Gafgyt. Mivel azonban utóbbi károkozó nem szeret közösködni, így a fertőzés után ellenőrzi, hogy a megtámadott útválasztón megtalálható-e a JenX, és ha igen, akkor első lépésben azt semmisíti meg.

Mint a Palo Alto Networks biztonsági kutatója, Asher Davila mondta a ZDNetnek, a Gafgyt mindig ellenőrzi, hogy egyedül vezérli a fertőzött eszközt, hogy minden rendelkezésre álló erőforrást ki tudjon használni támadáskor.

DDoS támadás, de ki ellen?

Ha a Gafgyt kellő számú routert megfertőzött, és bekapcsolt a botnetbe, indulhat a DDoS (Distributed Denial of Service), azaz az elosztott túlterheléses támadás. Ennek egyetlen célja a károkozás: lebénítani a megtámadott rendszereket, és ezzel szolgáltatáskimaradást előidézni.

A malware ebben is különleges. A most megtalált változata ugyanis kifejezetten játékszerverekre, azon belül is a Valve Source Engine motorját használó játékokat futtatókra koncentrál. Ilyen például a Counter-Strike és a Team Fortress 2 is. De nem a Valve szerverei jelentik az első számú célpontot, hanem a játékosok által üzemeltetett magánszerverek.

A kutatók szerint ezeknek a támadások a leggyakoribb indítéka a bosszú: néhány játékos így vesz elégtételt a játékban elszenvedett vereségéért, sérelméért az ellenfelein, vagy egyszerűen le akarja gyalulni a riválisait. A ZDNetnek nyilatkozó kutató szerint amikor egy ilyen támadáshoz botnertet akarnak bérelni, nem is kell lemerülniük a Dark Net bugyraiba. Már az Instagramon is kínálnak ilyen szolgáltatásokat, természetesen hamis profilokkal, és egy egyszerűbb támadáshoz már akár 8 dollárért is lehet bérelni bothálózatot.

Fontos a rendszeres frissítés

Az útválasztók, amelyekre a Gafgyt új verziója vadászik, régi modellek, néhányuk már több mint öt éve került a piacra. Ezért a kutatók azt javasolják, hogy akinek ilyen berendezése van, cserélje egy újabb modellre, és legalább félévente frissítse a szoftverét. Ha valaki rendszeresen telepíti a javításokat, és erős jelszavakat használ a routerhez, a botnetek többségével szemben védett lesz.