Злоумышленники обещают доставить любое сообщение на тысячи устройств по всему миру, и не только в поддержку блогеров.
Неизвестные злоумышленники предлагают всем желающим приобрести услугу по рассылке спама на печатающие устройства по всему миру — Printer-Spam-as-a-Service. Это следует из рекламного сообщения, которое распечаталось на тысячах принтеров с незащищенными сетевыми портами.
Первым об атаке сообщил ИБ-специалист Эндрю Моррис (Andrew Morris) — по его словам, первое подобное письмо попалось в ловушку компании GreyNoise 2 декабря, однако атака продолжилась и на следующий день.
В своем сообщении взломщики, называющие себя экспертами партизанского маркетинга, обещают дотянуться до каждого принтера на планете при помощи «самой продвинутой вирусной кампании в истории».
Как выяснили ИБ-аналитики, сервер, с которого шла рассылка, ранее сканировал Интернет в поисках незащищенных роутеров, уязвимых плагинов Adobe ColdFusion и memcached-площадок. Кроме того, IP-адрес злоумышленников связан с хостинг-провайдером, неоднократно размещавшим у себя фишинговые ресурсы и другие криминальные сайты.
В разговоре с журналистами ZDNet авторы рассылки отказались отвечать на вопрос о законности своих действий и отметили, что подумывали о реализации подобной методики, но у них не доходили до нее руки. Рассылка в поддержку блогера PewDiePie мотивировала их на новую волну спама через принтеры.
В ее рамках 29 ноября преступник под псевдонимом TheHackerGiraffe взломал более 50 тыс. принтеров, подключенных к Интернету, и распечатал на них один и тот же документ. Автор призывал получателей подписаться на канал YouTube-блогера PewDiePie и помочь последнему сохранить лидерство по количеству подписчиков. В том же письме взломщик сообщал пользователю, что принтер уязвим, и советовал залатать брешь.
В своем твиттере злоумышленник пояснил, что собрал информацию о 800 тыс. устройств с открытыми портами 9100, IPP (Internet Printing Protocol) и LPD (Line Printer Daemon) при помощи поискового движка Shodan. Далее киберпреступник выбрал из них первые 50 тыс. и при помощи утилиты PRET (Printer Exploitation Toolkit) распечатал на них документ в формате PDF.
Взломщик признался, что совершил атаку от скуки и изначально не знал, каким будет содержание рассылки. Поддержать PewDiePie, который рискует потерять первенство на YouTube под натиском индийского канала T-Series, злоумышленник решил непосредственно перед отправкой файла в печать.
TheHackerGiraffe пишет, что PRET обладает рядом действительно деструктивных функций, среди которых возможность доступа к файлам и сетевым папкам, а также вывод принтера из строя. По словам взломщика, своей акцией он хотел предупредить владельцев уязвимых машин о грозящей им опасности.
Тем не менее, авторы рекламной рассылки не использовали для нее PRET. Как признались злоумышленники, в их руках имеется высокопроизводительный и масштабируемый принт-сервер. По их словам, применение бесплатной утилиты замедлило бы и усложнило кампанию.
Принтеры зачастую остаются вне сферы внимания ИБ-специалистов, однако могут стать одним из векторов кибератаки. Производители печатающих устройств пытаются снизить риск нападения, регулярно выпуская патчи и запуская программы по поиску багов. Тем не менее, как показала кампания TheHackerGiraffe, их усилий пока недостаточно, и сотни тысяч принтеров по всему миру находятся под угрозой взлома.