Взломщики предлагают рекламу в рассылках через принтеры

05 декабря 2018 г., среда

Злоумышленники обещают доставить любое сообщение на тысячи устройств по всему миру, и не только в поддержку блогеров.

Неизвестные злоумышленники предлагают всем желающим приобрести услугу по рассылке спама на печатающие устройства по всему миру — Printer-Spam-as-a-Service. Это следует из рекламного сообщения, которое распечаталось на тысячах принтеров с незащищенными сетевыми портами.

Первым об атаке сообщил ИБ-специалист Эндрю Моррис (Andrew Morris) — по его словам, первое подобное письмо попалось в ловушку компании GreyNoise 2 декабря, однако атака продолжилась и на следующий день.

В своем сообщении взломщики, называющие себя экспертами партизанского маркетинга, обещают дотянуться до каждого принтера на планете при помощи «самой продвинутой вирусной кампании в истории».

Как выяснили ИБ-аналитики, сервер, с которого шла рассылка, ранее сканировал Интернет в поисках незащищенных роутеров, уязвимых плагинов Adobe ColdFusion и memcached-площадок. Кроме того, IP-адрес злоумышленников связан с хостинг-провайдером, неоднократно размещавшим у себя фишинговые ресурсы и другие криминальные сайты.

В разговоре с журналистами ZDNet авторы рассылки отказались отвечать на вопрос о законности своих действий и отметили, что подумывали о реализации подобной методики, но у них не доходили до нее руки. Рассылка в поддержку блогера PewDiePie мотивировала их на новую волну спама через принтеры.

В ее рамках 29 ноября преступник под псевдонимом TheHackerGiraffe взломал более 50 тыс. принтеров, подключенных к Интернету, и распечатал на них один и тот же документ. Автор призывал получателей подписаться на канал YouTube-блогера PewDiePie и помочь последнему сохранить лидерство по количеству подписчиков. В том же письме взломщик сообщал пользователю, что принтер уязвим, и советовал залатать брешь.

В своем твиттере злоумышленник пояснил, что собрал информацию о 800 тыс. устройств с открытыми портами 9100, IPP (Internet Printing Protocol) и LPD (Line Printer Daemon) при помощи поискового движка Shodan. Далее киберпреступник выбрал из них первые 50 тыс. и при помощи утилиты PRET (Printer Exploitation Toolkit) распечатал на них документ в формате PDF.

Взломщик признался, что совершил атаку от скуки и изначально не знал, каким будет содержание рассылки. Поддержать PewDiePie, который рискует потерять первенство на YouTube под натиском индийского канала T-Series, злоумышленник решил непосредственно перед отправкой файла в печать.

TheHackerGiraffe пишет, что PRET обладает рядом действительно деструктивных функций, среди которых возможность доступа к файлам и сетевым папкам, а также вывод принтера из строя. По словам взломщика, своей акцией он хотел предупредить владельцев уязвимых машин о грозящей им опасности.

Тем не менее, авторы рекламной рассылки не использовали для нее PRET. Как признались злоумышленники, в их руках имеется высокопроизводительный и масштабируемый принт-сервер. По их словам, применение бесплатной утилиты замедлило бы и усложнило кампанию.

Принтеры зачастую остаются вне сферы внимания ИБ-специалистов, однако могут стать одним из векторов кибератаки. Производители печатающих устройств пытаются снизить риск нападения, регулярно выпуская патчи и запуская программы по поиску багов. Тем не менее, как показала кампания TheHackerGiraffe, их усилий пока недостаточно, и сотни тысяч принтеров по всему миру находятся под угрозой взлома.

Threatpost