Специалист компании NewSky Security, специализирующейся на безопасности IoT-устройств, Анкит Анубхав (Ankit Anubhav) обнаружил не совсем обычную массовую атаку на роутеры MikroTik и Ubiquiti. Неизвестные доброжелатели «переименовали» тысячи устройств, изменив имя хоста на комбинации вроде HACKED FTP server, HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED или HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD.

В сущности, устройства не были взломаны в полном смысле этого слова, так как кроме hostname неизвестные ничего не трогали, их действия скорее нужно классифицировать как дефейс или пранк.

По оценкам Анубхава, данная кампания началась еще летом 2017 года, когда он впервые заметил, что более 36 000 роутеров Ubiquiti имеют очень странные имена хоста. С тех пор число скомпрометированных устройств перешагнуло отметку 40 000.

Стоит отметить, что еще в 2016 году роутеры Ubiquiti не просто дефейсили таким же образом, но изменяли имя пользователя и пароль устройств на «mother» и «fucker». В ходе текущей кампании логины и пароли «шутники» не трогают.

В начале января 2018 года Анкит Анубхав обнаружил, что точно такая же проблема теперь наблюдается и с роутерами MikroTik. Исследователь сумел найти более 7300 дефейснутых устройств, то есть имя хоста сменили для 1,3% всех роутеров MikroTik. Когда именно произошла данная атака, неизвестно.

Сначала эксперты предположили, что для атак на роутеры могли использоваться эксплоиты, представленные WikiLeaks во время серии публикаций Vault 7. Так, в прошлом году ИБ-специалистам удалость отреверсить эксплоит Chimay Red, исходные коды которого были опубликованы в свободном доступе, на GitHub. Из-за этого инженеры MikroTik были вынуждены выпустить экстренное обновление прошивки. Впрочем, при ближайшем рассмотрении выяснилось, что многие дефейснутые роутеры работали с новыми версиями прошивки, то есть эксплоит был для них бесполезен.

Ситуация прояснилась, когда Анубхав заметил, что владельцы пострадавших устройств пишут жалобы на форумах MikroTik, где честно признаются, что их устройства работали с учетными данными по умолчанию или вообще без пароля.

«Похоже, что кто-то создал скрипт, который проникает на незащищенные устройства и изменяет их имена. Хотя [MikroTik] RouterOS по умолчанию имеет пароль и включенный брандмауэр, многие отключают их по каким-то неизвестным причинам», — сетуют официальные представители MikroTik .



6 комментариев

  1. Themistocles

    13.01.2018 at 17:24

    закрывай дыры, не закрывай, они все равно дефолтные уз оставляют

  2. Владиславище

    13.01.2018 at 22:34

    Это только вершина айсберга. В мелких госУчереждениях, где нет своего IT-отдела, IT на аутсорсинге. В это трудно поверить, но там всем по-барабану, все хотят Админ-права на компах. И через ГлавУчреждений — этот вопрос не решить, они на стороне своих подчинённых, запугивание шифровальщиками, утечкой данных их не напугать. Ответ на всё один — У Нас же стоит АНТИВИРУС. Бросил с ними бороться!

  3. ELForcer

    14.01.2018 at 15:15

    «то есть эксплоит был для них бесполезен.» — Мб имелось ввиду обновление бесполезно?

    • ASiMOz

      15.01.2018 at 12:30

      нет. Имелось ввиду, что более ранние патчи, вышедшие до оглашения уязвимости, уже были исправлены.

Оставить мнение