Специалисты из компании Imperva констатируют: очень большое количество домашних маршрутизаторов находятся под контролем посторонних лиц. Причина тому — игнорирование базовых правил безопасности, в частности, использование паролей по умолчанию.
Всем известно о множестве уязвимостей в домашних маршрутизаторах. О новых сообщают практически каждую неделю. Патчи выходят с опозданием, а обновлением прошивки маршрутизатора занимается крайне малый процент пользователей. Можно подумать, что взломы таких гаджетов — единичные случаи.
Сейчас появились новые факты: десятки клиентов Imperva сообщают, что наблюдали скоординированные DDoS-атаки с участием десятков тысяч уязвимых маршрутизаторов. Получается, что эти устройства контролируются одним лицом или группой лиц. Фактически, маршрутизаторы формируют своеобразный ботнет.
По оценке Imperva, количество ботов-маршрутизаторов исчисляется сотнями тысяч, а более вероятно, что миллионами.
Imperva приводит пример такой типичной атаки. Атака типа HTTP-флуда на прикладном уровне идёт против 60 доменов, у которых нет ничего общего. Она началась 30 декабря 2014 года, а в последнее время заметно усилилась.
Специалисты проанализировали пакеты и определили, что большинство запросов исходит от домашних маршрутизаторов производства Ubiquiti.
Вот как выглядит входящий DDoS-трафик.
Сначала было предположение, что это какой-то глюк в прошивке, но дальнейшая проверка выявила доступность этих устройств по HTTP и SSH на портах по умолчанию. При этом все они использовали дефолтные пароли, установленные производителем. К такому маршрутизатору каждый может получить доступ.
Как известно, хакнув чужой маршрутизатор, открываются возможности по перехвату всех коммуникаций, MiTM-атакам (например, через отравление DNS-кэша), контролю над всеми локальными сетевыми ресурсами.
Imperva проверила уязвимые маршрутизаторы и нашла на них сразу несколько разных зловредов для DDoS. Те не боролись друг с другом, а мирно сосуществовали вместе. Самый популярный среди них — MrBlack, также встречаются Dofloo, Mayday, BillGates и Skynet.
За 111 дней исследования зафиксировано 40 269 IP-адресов, с которых идут атаки. Зарегистрировано 60 IP-адресов командных серверов.
Что характерно, заражённые маршрутизаторы конфигурируются на сканирование доступной сети для поиска других уязвимых устройств и для дальнейшего распространения вредоносной программы. Таким образом, ботнет является устойчивой и самоподдерживающейся структурой.
