Специалист компании NewSky Security, специализирующейся на безопасности IoT-устройств, Анкит Анубхав (Ankit Anubhav) обнаружил не совсем обычную массовую атаку на роутеры MikroTik и Ubiquiti. Неизвестные доброжелатели «переименовали» тысячи устройств, изменив имя хоста на комбинации вроде HACKED FTP server, HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED или HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD.
В сущности, устройства не были взломаны в полном смысле этого слова, так как кроме hostname неизвестные ничего не трогали, их действия скорее нужно классифицировать как дефейс или пранк.
По оценкам Анубхава, данная кампания началась еще летом 2017 года, когда он впервые заметил, что более 36 000 роутеров Ubiquiti имеют очень странные имена хоста. С тех пор число скомпрометированных устройств перешагнуло отметку 40 000.
36000+ Ubiquity devices now have hostname "HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD" . Of course they are hacked. #iot #iotsecurity #infosec pic.twitter.com/Wy1i1YhJBe
— Ankit Anubhav (@ankit_anubhav) July 11, 2017
Стоит отметить, что еще в 2016 году роутеры Ubiquiti не просто дефейсили таким же образом, но изменяли имя пользователя и пароль устройств на «mother» и «fucker». В ходе текущей кампании логины и пароли «шутники» не трогают.
В начале января 2018 года Анкит Анубхав обнаружил, что точно такая же проблема теперь наблюдается и с роутерами MikroTik. Исследователь сумел найти более 7300 дефейснутых устройств, то есть имя хоста сменили для 1,3% всех роутеров MikroTik. Когда именно произошла данная атака, неизвестно.
I believe that 1.3% of all Microtik FTP Servers are hacked.
— Ankit Anubhav (@ankit_anubhav) January 8, 2018
This is 7000+ in number https://t.co/AUe0QPJUBi
Why hacked? Because well this is their FTP name => "HACKED" !! pic.twitter.com/OcJR3VKsci
Сначала эксперты предположили, что для атак на роутеры могли использоваться эксплоиты, представленные WikiLeaks во время серии публикаций Vault 7. Так, в прошлом году ИБ-специалистам удалость отреверсить эксплоит Chimay Red, исходные коды которого были опубликованы в свободном доступе, на GitHub. Из-за этого инженеры MikroTik были вынуждены выпустить экстренное обновление прошивки. Впрочем, при ближайшем рассмотрении выяснилось, что многие дефейснутые роутеры работали с новыми версиями прошивки, то есть эксплоит был для них бесполезен.
Ситуация прояснилась, когда Анубхав заметил, что владельцы пострадавших устройств пишут жалобы на форумах MikroTik, где честно признаются, что их устройства работали с учетными данными по умолчанию или вообще без пароля.
«Похоже, что кто-то создал скрипт, который проникает на незащищенные устройства и изменяет их имена. Хотя [MikroTik] RouterOS по умолчанию имеет пароль и включенный брандмауэр, многие отключают их по каким-то неизвестным причинам», — сетуют официальные представители MikroTik .
Themistocles
13.01.2018 в 17:24
закрывай дыры, не закрывай, они все равно дефолтные уз оставляют
Владиславище
13.01.2018 в 22:34
Это только вершина айсберга. В мелких госУчереждениях, где нет своего IT-отдела, IT на аутсорсинге. В это трудно поверить, но там всем по-барабану, все хотят Админ-права на компах. И через ГлавУчреждений — этот вопрос не решить, они на стороне своих подчинённых, запугивание шифровальщиками, утечкой данных их не напугать. Ответ на всё один — У Нас же стоит АНТИВИРУС. Бросил с ними бороться!
john_
15.01.2018 в 06:24
Наслаждайся жизнью. Данные позарятся — прибегут за помощью. А это денежка.
john_
15.01.2018 в 06:25
Похерятся**
ELForcer
14.01.2018 в 15:15
«то есть эксплоит был для них бесполезен.» — Мб имелось ввиду обновление бесполезно?
ASiMOz
15.01.2018 в 12:30
нет. Имелось ввиду, что более ранние патчи, вышедшие до оглашения уязвимости, уже были исправлены.
FarSeerMellon
22.01.2018 в 21:17
Стесняюсь спросить пароль по умолчанию для микротов???
Всю жизнь было:
User: admin
Pass, leave the fill blank
Anon
25.03.2018 в 10:39
Подмочили репутацию НевроТикам и Юродитам?