Специалист компании NewSky Security, специализирующейся на безопасности IoT-устройств, Анкит Анубхав (Ankit Anubhav) обнаружил не совсем обычную массовую атаку на роутеры MikroTik и Ubiquiti. Неизвестные доброжелатели «переименовали» тысячи устройств, изменив имя хоста на комбинации вроде HACKED FTP server, HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED или HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD.
В сущности, устройства не были взломаны в полном смысле этого слова, так как кроме hostname неизвестные ничего не трогали, их действия скорее нужно классифицировать как дефейс или пранк.
По оценкам Анубхава, данная кампания началась еще летом 2017 года, когда он впервые заметил, что более 36 000 роутеров Ubiquiti имеют очень странные имена хоста. С тех пор число скомпрометированных устройств перешагнуло отметку 40 000.
36000+ Ubiquity devices now have hostname "HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD" . Of course they are hacked. #iot #iotsecurity #infosec pic.twitter.com/Wy1i1YhJBe
— Ankit Anubhav (@ankit_anubhav) July 11, 2017
Стоит отметить, что еще в 2016 году роутеры Ubiquiti не просто дефейсили таким же образом, но изменяли имя пользователя и пароль устройств на «mother» и «fucker». В ходе текущей кампании логины и пароли «шутники» не трогают.
В начале января 2018 года Анкит Анубхав обнаружил, что точно такая же проблема теперь наблюдается и с роутерами MikroTik. Исследователь сумел найти более 7300 дефейснутых устройств, то есть имя хоста сменили для 1,3% всех роутеров MikroTik. Когда именно произошла данная атака, неизвестно.
I believe that 1.3% of all Microtik FTP Servers are hacked.
— Ankit Anubhav (@ankit_anubhav) January 8, 2018
This is 7000+ in number https://t.co/AUe0QPJUBi
Why hacked? Because well this is their FTP name => "HACKED" !! pic.twitter.com/OcJR3VKsci
Сначала эксперты предположили, что для атак на роутеры могли использоваться эксплоиты, представленные WikiLeaks во время серии публикаций Vault 7. Так, в прошлом году ИБ-специалистам удалость отреверсить эксплоит Chimay Red, исходные коды которого были опубликованы в свободном доступе, на GitHub. Из-за этого инженеры MikroTik были вынуждены выпустить экстренное обновление прошивки. Впрочем, при ближайшем рассмотрении выяснилось, что многие дефейснутые роутеры работали с новыми версиями прошивки, то есть эксплоит был для них бесполезен.
Ситуация прояснилась, когда Анубхав заметил, что владельцы пострадавших устройств пишут жалобы на форумах MikroTik, где честно признаются, что их устройства работали с учетными данными по умолчанию или вообще без пароля.
«Похоже, что кто-то создал скрипт, который проникает на незащищенные устройства и изменяет их имена. Хотя [MikroTik] RouterOS по умолчанию имеет пароль и включенный брандмауэр, многие отключают их по каким-то неизвестным причинам», — сетуют официальные представители MikroTik .
