Хакер взломал 150 тысяч принтеров, доступных в Сети / forpes.ru

Главная
Хакер взломал 150 тысяч принтеров, доступных в Сети

Хакер взломал 150 тысяч принтеров, доступных в Сети +18

06.02.2017 14:43

marks 13 10000 Источник

Найденная в лотке принтера распечатка может стать большим сюрпризом

Специалист по компьютерной безопасности с ником Stackoverflowin рассказал о взломе более 150 тысяч принтеров, которые доступны из глобальной сети. В интервью изданию Bleeping Computer он поведал, что цель взлома — не причинение вреда кому-либо или же извлечение выгоды, а привлечение внимания к проблеме информационной безопасности. По словам хакера, сейчас пользователи, как обычные, так и корпоративные, не обращают внимания на защиту своих принтеров, открывая к ним доступ извне без использования файрволов или других методов сетевой защиты.

Stackoverflowin создал скрипт, который занимается поиском доступных и открытых сетевых портов принтера, отправляя на уязвимые принтеры задачу печати. Никакого вреда скрипт не наносит, просто принтер пользователя начинает печатать страничку с определенным текстом, предупреждением о необходимости закрытия порта и защиты своего подключения.

stackoverflowin the hacker god has returned, your printer is part of a flaming botnet, operating on putin's forehead utilising BTI's (break the internet) complex infrastructure.

[ASCII ART HERE]

For the love of God, please close this port, skid.

-------

Questions?

Twitter: https://twitter.com/lmaostack

-------

Первая версия обращения к владельцам уязвимых принтеров содержала ASCII картинку робота и e-mail взломщика. При желании пользователь мог написать по этому адресу, получив информацию о том, как можно защититься. Вторая версия текста тоже содержит ASCII-рисунок, с изображением компьютера и рядом стоящего принтера. Выше рисунка размещается информация о необходимости защиты принтера, ставшего частью ботнета (на самом деле, ботнета нет).

Первая и вторая версия сообщений, отправленных хакером Stackoverflowin владельцам взломанных принтеров

Взлому оказались подвержены многие модели принтеров самых разных производителей. Среди прочих компаний, о принтерах которых стало известно — Afico, Brother, Canon, Epson, HP, Lexmark, Konica Minolta, Oki, Samsung. Скрипт ищет устройства, которые открывают порты IPP (Internet Printing Protocol), LPD (Line Printer Daemon) плюс порт 9100.

Частью скрипта является эксплоит, где используется уязвимость удаленного выполнения кода. Этот эксплоит рассчитан на принтеры линейки Dell Xeon. «Он позволяет мне выполнять инъекции PostScript и заставлять принтер выполнять задачи», — рассказывает Stackoverflowin.

То, что скрипт хакера оказался эффективным, не вызывает сомнений. В сети фотографии распечатанных страничек массово выкладывают владельцы взломанных принтеров. Вот часть этих сообщений.

@lmaostack lol? pic.twitter.com/cjvEstn55t
— Kenshin el Manco (@d_kenshin) February 4, 2017

Как видим, взломаны не только обычные, но и принтеры чеков.

@lmaostack yall got me fucked up!!! pic.twitter.com/fJi1beoSU7
— lindsey (@lindsucks) February 3, 2017

@lmaostack memed on in the morning pic.twitter.com/xZtTTqRsEO
— stef. (@sixthimpact) February 4, 2017

@lmaostack LMAO! <3 can u send someone of Tweety? on my country we love tweety LOL pic.twitter.com/q70pZaByN8
— Remigio Isla (@lttle_wolf) February 4, 2017

Повторение пройденного материала

В самом скрипте и его работе нет ничего особо сложного, о чем говорили, например, на Хабрахабре. Именно поэтому поиск доступных в сети принтеров с отправкой сторонних заданий в очередь печати — популярное среди различных взломщиков и скрипт-кидди занятие.

Вероятно, взламывают принтеры гораздо чаще, чем об этом становится известно. В СМИ обычно освещаются случаи, когда принтеры заставляют печатать нечто необычное. Например, очень известным стал массовый взлом принтеров, осуществленный в прошлом году Эндрю Оренхаймером (Andrew Auernheimer). Он приурочил свое событие ко дню рождения Гитлера и отправил на печать множество листовок с антисемитским текстом и протестами против мигрантов.

Тогда стало известно о том, что задействованы были принтеры минимум 6 крупных университетов. Сначала злоумышленник собрал IP подключенных к сети устройств из Северной Америки и Австралии с открытым портом 9100. Сделать это оказалось очень просто при помощи сервисов Shodan или masscan. После этого был использован простенький скрипт следующего содержания:

#!/bin/bash
for i in `cat printers`
do
cat payload.ps |netcat -q 0 $i 9100
done

Плюс была использована еще строка «while true; do killall --older-than 1m netcat;sleep 1;done» для того, чтобы убирать «повисшие» подключения. Об успехе всего мероприятия взломщик тоже узнал из социальных сетей, в частности, Twitter.

Защититься от подобного достаточно просто. Не стоит присваивать без необходимости своим принтерам публичные IP-адреса, на предприятии нужно проверить, не присвоены ли такие адреса стоящим там печатающим устройствам. Если присвоены, но для работы это не нужно, лучше исправить ситуацию заранее. Кроме того, можно воспользоваться одним из платных или бесплатных файрволов. Компания HP уже опубликовала собственное решение проблемы.

Поделиться с друзьями

-->

Комментарии (13)

Kenya-West
06.02.2017 19:01
#9869338
Я для прикола дам своему принтеру IP-адрес в Интернете и буду надеяться, что он каждый день будет печатать мне прогноз погоды (вдруг в Интернете есть «добрые» скрипты).

Да и вообще, у меня подозрение, что вероятность нарваться на такой скрипт ниже, чем врезаться в башни-близнецы, купив не тот авиабилет по ошибке.

gsaw
06.02.2017 19:16
#9869376
«Никакого вреда скрипт не наносит»

около 150000 распечатанных страниц A4. Это 300 пачек бумаги по 500 листов, наверное пол тонны бумаги — не один десяток спиленных деревьев.
1. Marsikus
  06.02.2017 19:32
  #9869400
  Наверное еще и проблемы с отчетностью для предприятий, у которых такие чеки напечатались.
  1. saboteur_kiev
    06.02.2017 19:50
    #9869476
    Это гораздо дешевле, чем если бы принтер напечатал поддельный чек на определенную сумму, включая печать на внутреннюю фискальную ленту. Шанс тем, у кого принтеры, печатающие документы строгой отчетности успеть привести все в порядок до того, как случатся более серьезные проблемы.

melchermax
06.02.2017 20:07
#9869556
-1
Я так попытался напугать мать свох детей: будучи на службе, отправил на печать с сотового текст про захват мира роботами… Думал, она прочтёт и поверит, так как про сетевые возможности принтера не знала. А она вечером флегматично так: там принтер фигню печатает, я выбрасывть не стала, погляди. Обидно.

igrig
06.02.2017 20:31
#9869622
+1
Касательно принтеров — то как они то оказываются выставленными наружу? Просто интересен юзкейс. Потому что случайным такое представляется мало вероятным. Ну это если не брать в расчет там ipv6, хотя и то.
1. saboteur_kiev
  06.02.2017 20:43
  #9869658
  комп с белым айпи, на него установлен сетевой принтер, по умолчанию расшаренный на всех.
  Небольшой магазин, с единственным компом и регистратором (принтером) на нем
  
  Насколько я помню, если устанавливаешь себе сетевой или локальный принтер по IP, то по умолчанию предлагается сделать его общим, то есть расшарить.
1. semibiotic
  06.02.2017 21:54
  #9869876
  Ну почему? Например владельцам сказали что NAT это несолидно и несовременно, и они построили внутреннюю сеть на внешних адресах, включая сетевой принтер ...
1. semibiotic
  06.02.2017 22:07
  #9869910
  Disclaimer: Cам по себе, NAT, конечно, не является security-решением (в отдельных случаях его можно обойти), но он вносит существенные ограничения.

killik
07.02.2017 03:26
#9870486
+1
взломаны не только обычные, но и принтеры чеков

Чую, в связи с нынешним обязательным применением онлайновых кассовых аппаратов, нас ждет много всякого.

SanekPlus
07.02.2017 06:57
#9870654
>> putin's

Хакер путина оставил след! :))

Impuls
07.02.2017 09:21
#9870856
Тырк

IGHOR
07.02.2017 15:16
#9872102
С каких пор найти принтер в сети и что-то на нем распечатать называется взломом?