На конференции Virus Bulletin 2021 эксперты Acronis и Search-Lab рассказали о ботнете, состоящем из роутеров TP-Link. С 2016 года он злоупотреблял встроенной в устройства функцией отправки текстовых сообщений, и его операторы предлагали услуги по рассылке SMS.
На протяжении многих лет зараженные роутеры использовались для рассылки советов по ставкам, кодов верификации, подтверждения онлайн-платежей и пожертвований, а также для отправки загадочных сообщений, смысл которых исследователи пока не разгадали.
Один из авторов доклада, Роберт Нойман, рассказал журналистам издание The Record, что о ботнете ему стало известно еще в мае 2018 года, когда его попросили изучить взломанный маршрутизатор с поддержкой 4G. Устройство генерировало огромное количество исходящих SMS, которые рассылало с встроенной SIM-карты, и его владелец получал внушительные счета за связь.
В итоге это расследование стало одним из самых сложных и запутанных в карьере Ноймана, оно длилось три года и включало в себя сбор улик и логов нескольких жертв, так как исследователь решил составить общую картину и проследить атаки и операции ботнета.
Для начала эксперт выяснили, как хакеры проникали на устройства. Оказалось, злоумышленники эксплуатировали уязвимость, обнаруженную еще в 2015 году. Ее можно было использовать для доступа к файлам роутеров TP-Link без предварительной аутентификации. Хотя этот баг был устранен в более поздних версиях прошивки, Нойман говорит, что в сети все равно были доступны тысячи устройств, многие из которых уязвимы по сей день.
В итоге эксперт смог воспроизвести эксплоит для уязвимости 2015 года и получил доступ к одной из функций маршрутизатора, которая отвечала за «отправку SMS-сообщений, чтение входящих и исходящих SMS, сбор информации о SIM-lock, а также изменение настроек LAN и времени». Данный интерфейс был обнаружен только в устройствах TP-Link MR6400, маршрутизаторах с поддержкой 4G, которые обычно устанавливались в местах, где нельзя было использовать провода.
В итоге, злоумышленник, захвативший маршрутизаторы, организовал на их базе простой в управлении ботнет, а затем стал предлагать услуги по отправке дешевых текстовых сообщений другим людям. Хотя исследователи не смогли обнаружить рекламу этой услуги, огромное разнообразие кампаний по рассылке SMS предполагает наличие широкой клиентской базы у оператора ботнета.
«Тот, кто первым обнаружил уязвимость в 2016 году, начал использовать ее, проводя связанные с футболом кампании в течение года, — рассказывает Нойман. — Эксплуатация этих устройств продолжается до сих пор, однако, похоже, обороты [ботнета] значительно сократились по сравнению с пиком в 2018 году».
Кто построил этот ботнет, до сих пор остается загадкой, так как сеть взломанных маршрутизаторов обеспечивала полную анонимность своим создателям, которым остается лишь монетизировать ботнет, взимая небольшую плату со своих клиентов.
«Способствовать снижению [активности ботнета] могло отсутствие интереса со стороны киберпреступников, обновление прошивки устройств до неуязвимых версий, переход злоумышленников на новые модели “работы” с большей долей рынка, или включение специального запрета [на работу функции отправки SMS] посредством SIM-карт», — резюмирует исследователь.
