Специалисты из компании Imperva констатируют: очень большое количество домашних маршрутизаторов находятся под контролем посторонних лиц. Причина тому — игнорирование базовых правил безопасности, в частности, использование паролей по умолчанию. Всем известно о множестве уязвимостей в домашних маршрутизаторах. О новых сообщают практически каждую неделю. Патчи выходят с опозданием, а обновлением прошивки маршрутизатора занимается крайне малый процент пользователей. Можно подумать, что взломы таких гаджетов — единичные случаи.

Сейчас появились новые факты: десятки клиентов Imperva сообщают, что наблюдали скоординированные DDoS-атаки с участием десятков тысяч уязвимых маршрутизаторов. Получается, что эти устройства контролируются одним лицом или группой лиц. Фактически, маршрутизаторы формируют своеобразный ботнет.

По оценке Imperva, количество ботов-маршрутизаторов исчисляется сотнями тысяч, а более вероятно, что миллионами.

Imperva приводит пример такой типичной атаки. Атака типа HTTP-флуда на прикладном уровне идёт против 60 доменов, у которых нет ничего общего. Она началась 30 декабря 2014 года, а в последнее время заметно усилилась.

003

Специалисты проанализировали пакеты и определили, что большинство запросов исходит от домашних маршрутизаторов производства Ubiquiti.

Вот как выглядит входящий DDoS-трафик.

005

Сначала было предположение, что это какой-то глюк в прошивке, но дальнейшая проверка выявила доступность этих устройств по HTTP и SSH на портах по умолчанию. При этом все они использовали дефолтные пароли, установленные производителем. К такому маршрутизатору каждый может получить доступ.

004

Как известно, хакнув чужой маршрутизатор, открываются возможности по перехвату всех коммуникаций, MiTM-атакам (например, через отравление DNS-кэша), контролю над всеми локальными сетевыми ресурсами.

Imperva проверила уязвимые маршрутизаторы и нашла на них сразу несколько разных зловредов для DDoS. Те не боролись друг с другом, а мирно сосуществовали вместе. Самый популярный среди них — MrBlack, также встречаются Dofloo, Mayday, BillGates и Skynet.

Читайте також -  Новий «HomePod» із 7-дюймовим дисплеєм буде запущено наступного року

За 111 дней исследования зафиксировано 40 269 IP-адресов, с которых идут атаки. Зарегистрировано 60 IP-адресов командных серверов.

005

Что характерно, заражённые маршрутизаторы конфигурируются на сканирование доступной сети для поиска других уязвимых устройств и для дальнейшего распространения вредоносной программы. Таким образом, ботнет является устойчивой и самоподдерживающейся структурой.

Взято с Xakep.ru

7 Comments

  1. … [Trackback]

    […] There you can find 19902 additional Information on that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

  2. … [Trackback]

    […] Information on that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

  3. … [Trackback]

    […] Here you can find 15448 additional Info to that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

  4. … [Trackback]

    […] Find More on that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

  5. … [Trackback]

    […] Read More on that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

  6. … [Trackback]

    […] Read More Info here to that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

  7. … [Trackback]

    […] Information on that Topic: portaltele.com.ua/news/internet/botnety-iz-domashnikh-marshrutizatorov.html […]

Leave a reply