Хакеры используют старые маршрутизаторы для создания подпольных прокси-сетей, предупреждают в ФБР
Изображение: recraft
Служба федеральных расследований США сообщила об опасной тенденции: устаревшие модели маршрутизаторов, на которые производители больше не выпускают обновления, всё чаще становятся инструментом киберпреступников. Эти устройства заражаются вредоносным кодом и используются для построения скрытых прокси-сетей, служащих опорной инфраструктурой в преступной онлайн-деятельности.
Как указывается в информационном бюллетене ФБР, речь идёт о тех маршрутизаторах, которые давно сняты с производства и не защищены от уязвимостей. Преступные группировки активно внедряют в них вредоносное ПО, используя эксплойты, находящиеся в открытом доступе. После заражения техника подключается к ботнет-сетям и начинает передавать трафик, исходящий от мошенников, маскируя их реальные IP-адреса.
Агенты подчеркивают, что взломанные устройства продаются через платформы 5Socks и Anyproxy. Доступ к ним приобретают те, кто намерен скрыть своё местоположение или избежать блокировок при совершении кибератак, дистанционном шпионаже или в процессе других незаконных действий.
В числе устройств, которые чаще других становятся целью атак, названы маршрутизаторы старых серий Linksys и Cisco. Среди них, в частности, E1200, E2500, E1000, E4200, а также модели WRT320N и WRT610N. Эксперты из ФБР также указали на активное заражение устройств с установленным удалённым администрированием — в частности Cradlepoint E100 и Cisco M10.
Федеральное бюро подтвердило, что многие из этих маршрутизаторов используются в ботнет-сетях, в которых работает модифицированная версия вредоносной программы TheMoon. В отчёте подчёркивается: этот инструмент позволяет злоумышленникам превратить маршрутизаторы в прокси-серверы и выполнять на них команды, поступающие с управляющих серверов. Такие команды часто направлены на сканирование уязвимых устройств в сети или на участие в атаках.
Сотрудники спецслужбы сообщают, что в некоторых эпизодах к хакерским операциям были причастны структуры, аффилированные с государственными игроками, в частности из Китая. Подтверждено, что через уязвимости в устаревших маршрутизаторах осуществлялись операции шпионского характера, в том числе затрагивающие американские объекты, относящиеся к инфраструктуре национального значения.
Трафик, проходящий через заражённые устройства, используется в преступных схемах: от сокрытия следов при хищении цифровых активов до атак по заказу. В ФБР уточнили, что такие прокси помогают избегать систем обнаружения, затрудняя расследования и установление личности злоумышленников.
Специалисты предупреждают: среди характерных признаков заражения маршрутизатора — нестабильность работы сети, рост температуры корпуса, снижение скорости соединения, изменения в настройках и появление незнакомых учётных записей с правами администратора. Отмечается и появление подозрительной сетевой активности, которую пользователь может заметить через интерфейс устройства или в отчётах маршрутизатора.
