Специалисты из компании Imperva констатируют: очень большое количество домашних маршрутизаторов находятся под контролем посторонних лиц. Причина тому — игнорирование базовых правил безопасности, в частности, использование паролей по умолчанию.

Всем известно о множестве уязвимостей в домашних маршрутизаторах. О новых сообщают практически каждую неделю. Патчи выходят с опозданием, а обновлением прошивки маршрутизатора занимается крайне малый процент пользователей. Можно подумать, что взломы таких гаджетов — единичные случаи.

Сейчас появились новые факты: десятки клиентов Imperva сообщают, что наблюдали скоординированные DDoS-атаки с участием десятков тысяч уязвимых маршрутизаторов. Получается, что эти устройства контролируются одним лицом или группой лиц. Фактически, маршрутизаторы формируют своеобразный ботнет.

По оценке Imperva, количество ботов-маршрутизаторов исчисляется сотнями тысяч, а более вероятно, что миллионами.

Imperva приводит пример такой типичной атаки. Атака типа HTTP-флуда на прикладном уровне идёт против 60 доменов, у которых нет ничего общего. Она началась 30 декабря 2014 года, а в последнее время заметно усилилась.

003

Специалисты проанализировали пакеты и определили, что большинство запросов исходит от домашних маршрутизаторов производства Ubiquiti.

Вот как выглядит входящий DDoS-трафик.

005

Сначала было предположение, что это какой-то глюк в прошивке, но дальнейшая проверка выявила доступность этих устройств по HTTP и SSH на портах по умолчанию. При этом все они использовали дефолтные пароли, установленные производителем. К такому маршрутизатору каждый может получить доступ.

004

Как известно, хакнув чужой маршрутизатор, открываются возможности по перехвату всех коммуникаций, MiTM-атакам (например, через отравление DNS-кэша), контролю над всеми локальными сетевыми ресурсами.

Imperva проверила уязвимые маршрутизаторы и нашла на них сразу несколько разных зловредов для DDoS. Те не боролись друг с другом, а мирно сосуществовали вместе. Самый популярный среди них — MrBlack, также встречаются Dofloo, Mayday, BillGates и Skynet.

За 111 дней исследования зафиксировано 40 269 IP-адресов, с которых идут атаки. Зарегистрировано 60 IP-адресов командных серверов.

005

Что характерно, заражённые маршрутизаторы конфигурируются на сканирование доступной сети для поиска других уязвимых устройств и для дальнейшего распространения вредоносной программы. Таким образом, ботнет является устойчивой и самоподдерживающейся структурой.



6 комментариев

  1. http://zagreev.ru

    14.05.2015 at 09:59

    почему производители при первой настройке не заставляют принудительно менять пароль дефолтный? ну и заодно проверяли бы стойкость. Всего лишь надо в прошивку добавить такой функционал

    • 14.05.2015 at 14:32

      Андрей, сделайте. У Вас получится успешный бизнес.

    • https://vk.com/publicshadowhd

      14.05.2015 at 23:00

      Еще как заставляют, еще как принудительно. Поработай пару-тройку раз тыжпрограммистом, понастраивай роутеры от всяких асус. Главная проблема не в производителях, а… в людях. Просьба придумать имя пользователя и пароль заводит их в такой ступор, в котором я бы оказался только если бы мне кто-то признался в любви. Собственно, после этого появляется вторая проблема — сохранить листок с паролем (и не забыть, куда спрятали) и даже ввести пароль на вай-фай: для обычных людей (конечно, среднего возраста и выше) со стороны похоже на то же самое, словно они что-то взламывают

  2. 14.05.2015 at 15:22

    можно генерироровать пароли и оставлять наклейку на каждый роутер с его паролем
    изначально при производстве.

    • https://vk.com/publicshadowhd

      14.05.2015 at 23:02

      ну да, будет чуть сложнее, придется подбирать пароли на основе используемого производителем генератора (мы же помним про псевдослучайность). Что самое интересное, взломать такой пароль в некоторых случаях даже проще, чем запомнить, хоть и потребует времени

  3. 27.05.2015 at 09:08

    А не проще поставить галочку для входа в панель настроек только через лан-порт

Оставить мнение