СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
2 часа назад
#ИБ

ФБР заявило, что «русские хакеры» превратили старые роутеры в шпионскую сеть для перехвата интернет-трафика

ФБР заявило, что 171русские хакеры187 превратили старые роутеры в шпионскую сеть для перехвата интернет-трафика

Изображение: grok

ФБР и Минюст США сообщили, что русскоязычная хакерская группа годами эксплуатировала уязвимые домашние маршрутизаторы для перехвата интернет-трафика и сбора учётных данных. Под удар попали в основном устаревшие устройства линейки TP-Link, работающие без обновлений прошивки в квартирах и небольших офисах. Атакующие подменяли настройки DNS, после чего часть запросов пользователей шла через инфраструктуру злоумышленников.

Расчёт оказался прагматичным. Вместо штурма современных корпоративных систем нападающие выбрали путь наименьшего сопротивления — миллионы коробок, мигающих светодиодами под столом, о которых владельцы забыли через неделю после покупки. Такие маршрутизаторы редко перезагружают, ещё реже обновляют, а заводские пароли администратора там нередко стоят с момента распаковки.

Целью атаки стали так называемые SOHO-устройства — оборудование для домашних пользователей и небольших фирм. Эта категория техники имеет несколько особенностей, которые делают её удобной мишенью:

  • срок реальной эксплуатации часто доходит до 8–10 лет;
  • производитель прекращает выпуск обновлений задолго до того, как устройство уходит на свалку;
  • владельцы редко заглядывают в веб-интерфейс настроек;
  • пароль администратора в большинстве случаев остаётся заводским;
  • удалённое управление нередко включено по умолчанию.

Стоит обратить внимание на то, что атака через DNS работает бесшумно — никаких баннеров о вымогательстве, никаких подозрительных списаний с карты. Жертва живёт обычной цифровой жизнью, пока её трафик проходит через чужие сервера.

Если объяснять механизм без технического жаргона, DNS работает как телефонный справочник интернета. Пользователь вводит адрес сайта, а служба переводит его в цифровой адрес сервера. Когда хакеры подменяют параметры этого справочника на роутере, они получают возможность направлять часть запросов туда, куда им нужно, — на фишинговые копии сайтов, на промежуточные узлы для перехвата паролей или на серверы для сбора метаданных о посещениях.

Весной американские правоохранители провели операцию по нарушению работы части ботнета на территории США. Часть скомпрометированных устройств удалось вывести из-под контроля атакующих, но сама проблема устаревшей сетевой техники в домах пользователей осталась нерешённой. Эксперты прямо говорят, что речь идёт о структурном явлении, а не о разовом инциденте.

В перечне скомпрометированных моделей упоминаются устройства TP-Link нескольких популярных серий:

  • Archer разных поколений;
  • линейка WR с привычными многим индексами;
  • модели WDR с двухдиапазонной работой;
  • мобильные MR;
  • бизнес-серия WA для точек доступа.

Производитель отреагировал на публикацию признанием очевидного. Большая часть упомянутых моделей относится к устаревшим продуктам, часть из них снята с производства несколько лет назад. Там, где это технически выполнимо, инженеры компании подготовили патчи безопасности, а для самых старых аппаратов выпуск обновлений невозможен — железо просто не тянет современный криптографический стек.

Рекомендации производителя звучат предсказуемо, но игнорируются массово. Пользователям советуют:

  • обновить прошивку до последней доступной версии;
  • сменить заводской пароль администратора на длинный и уникальный;
  • отключить удалённое управление через интернет;
  • ограничить доступ к панели настроек только локальной сетью;
  • заменить устройства старше 7–8 лет на современные модели с активной поддержкой.

Уточняется, что для удалённых сотрудников риск удваивается. Через домашний роутер проходит не только частная переписка владельца, но и рабочие сессии с корпоративными системами, доступ к VPN, служебная почта и облачные сервисы работодателя.

Домашний маршрутизатор — это узкое горлышко, через которое проходит вообще весь цифровой быт. К нему цепляются ноутбуки, телефоны, телевизоры, приставки, умные колонки, камеры видеонаблюдения, пылесосы-роботы и термостаты. Контроль над этой коробкой даёт злоумышленнику обзор всего, что происходит в подключённой инфраструктуре.

Парадокс ситуации в том, что обычный пользователь относится к роутеру как чайнику. Купил, поставил, забыл. Никто не задумывается о версии прошивки чайника, никто не меняет пароль на микроволновке, никто не следит за уязвимостями в утюге. С маршрутизатором ровно такое же отношение, но в отличие от бытовой техники он подключён к сети 24 часа в сутки и видит каждый бит, который вы отправляете и получаете.

Атрибуция атаки указывает на группу, известную в индустрии под несколькими именами — APT28, Fancy Bear, Forest Blizzard. Этот коллектив фигурирует в десятках расследований за последнее десятилетие и стабильно работает в области сбора разведывательной информации.

Ранее сообщалось, что хакерская группировка ShinyHunters заявила о взломе серверов Oracle PeopleSoft более чем в 100 организациях по всему миру. По данным BleepingComputer, атаки затронули как облачные, так и локальные версии платформы. После компрометации систем пострадавшие организации начали получать требования о выплате выкупа от злоумышленников.

Также мы писали о том, что специалисты Huntress обнаружили вредоносную кампанию, в которой злоумышленники использовали инфраструктуру рекламной сети Google для доставки вредоносного ПО. Атакующие направляли пользователей через домен ad.doubleclick.net, который обычно считается доверенным и поэтому способен миновать часть корпоративных средств фильтрации и защиты. Исследователи отмечали, что такая схема особенно эффективна при распространении вредоносных ссылок через электронную почту и может затрагивать пользователей по всему миру, работающих с зарубежными онлайн-сервисами.

Эксперты редакции CISOCLUB заявили, что описанная кампания — лишь верхушка айсберга, и реальное количество скомпрометированных устройств в мире измеряется сотнями тысяч. Производители сетевого оборудования должны нести более жёсткую ответственность за длительный жизненный цикл уязвимостей в своих продуктах, а не сбрасывать проблему на пользователя через формулу «купите новое устройство». Пора вводить обязательные сроки поддержки оборудования по аналогии с автомобильной отраслью, где запчасти и сервис гарантируются годами, после снятия модели с конвейера.

Пользовательская гигиена в области сетевой техники остаётся на уровне 2005 года, и без массового просвещения ситуация не сдвинется. Корпоративный сектор обязан включать домашние маршрутизаторы удалённых сотрудников в периметр оценки рисков, потому что игнорирование этого слоя обесценивает все остальные инвестиции в защиту. Государственным регуляторам стоит задуматься о маркировке сетевых устройств по сроку поддержки, чтобы покупатель понимал, что берёт в руки — рабочий инструмент или мину замедленного действия.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: