СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
22 мая
#ИБ

Русских хакеров обвинили в атаках на старые роутеры и превращении их в скрытую сеть для перехвата трафика

Русских хакеров обвинили в атаках на старые роутеры и превращении их в скрытую сеть для перехвата трафика

Изображение: grok

Русскоязычные хакеры несколько лет скрытно взламывали домашние и офисные роутеры, превращая их в инфраструктуру для перехвата интернет-трафика, кражи данных и слежки. По данным западных специалистов по безопасности, атака задела устройства в 23 странах, а под удар попали тысячи маршрутизаторов для дома и малого бизнеса. После раскрытия схемы пользователям начали массово советовать срочно обновлять прошивки и проверять настройки роутеров.

Большая часть таких устройств годами живёт по одной и той же схеме. Роутер ставят где-нибудь в углу квартиры или офиса, подключают интернет и забывают о нём до первой поломки. На эту привычку операторы атаки и сделали ставку. Исследователи считают, что злоумышленники охотились за старыми и плохо обслуживаемыми SOHO-маршрутизаторами, рассчитанными на небольшие офисы и домашние сети.

Атака строилась вокруг перехвата DNS-запросов. Хакеры меняли сетевые настройки роутеров и перенаправляли трафик через собственную инфраструктуру. Это давало им сразу несколько возможностей:

  • видеть часть незашифрованного трафика пользователей;
  • следить за активностью устройств;
  • потенциально красть учётные данные.

Подобные схемы опасны тем, что заражённый роутер для владельца выглядит абсолютно обычным. Интернет работает, Wi-Fi не пропадает, а внутри уже идёт скрытая переадресация данных.

Любопытно, что заражённое устройство ничем себя не выдаёт — для хозяина оно остаётся прежней рабочей коробкой в углу.

Специалисты Microsoft Threat Intelligence отмечали, что такие операции дают атакующим возможность вести долгое скрытое наблюдение сразу за большим числом целей. С заражёнными роутерами злоумышленники строят распределённую сеть для дальнейших атак, прячут маршруты соединений и ведут разведку сетевой активности.

По данным расследования, пострадали более 200 организаций и примерно 5000 пользовательских устройств. Основной интерес для атакующих представляли старые маршрутизаторы со слабой защитой. Многие из них давно сняты с производства и почти не получают обновлений безопасности.

Отдельное внимание в расследовании было уделено роутерам TP-Link. Среди затронутых моделей фигурируют:

  • Archer C5 и Archer C7;
  • WR840N, WR841N, WR842N;
  • WR945N и MR6400;
  • ряд других устройств той же линейки.

Многие из этих моделей выпускались ещё в эпоху Wi-Fi 4 и до сих пор стоят в квартирах, небольших офисах, магазинах и точках подключения камер наблюдения.

Представители TP-Link сообщили, что большинство затронутых устройств сняли с производства несколько лет назад. В компании пояснили, что часть обновлений безопасности всё же подготовили для отдельных моделей, где это оказалось технически возможно. Заодно пользователей настойчиво призывают перейти на более современные маршрутизаторы.

Специалисты по безопасности советуют соблюдать базовую «гигиену роутеров», о которой многие вспоминают слишком поздно. Набор действий простой:

  • обновить прошивку устройства;
  • сменить стандартные логины и пароли;
  • отключить ненужный удалённый доступ;
  • проверить DNS-настройки.

Внимательнее стоит отнестись к старым роутерам, которые годами работают без единого обновления.

Даниэль Дос Сантос, вице-президент по исследованиям компании Forescout, заявил CNET, что сейчас идёт серьёзный рост атак через уязвимости маршрутизаторов, причём проблема касается и домашних, и корпоративных устройств. По его словам, роутер превращается в удобную точку входа для долгого скрытого присутствия внутри сети.

Стоит обратить внимание, что взломанная бытовая техника даёт операторам атак месяцы для того, чтобы оставаться вне зоны быстрого обнаружения.

Раньше сообщалось, что западные специалисты подозревают китайские группы в использовании взломанных домашних устройств для атак на энергетику и телекоммуникации. Такие схемы позволяют операторам долго оставаться невидимыми и собирать распределённые сети из обычной бытовой техники.

Также ранее сообщалось, что хакеры научились массово захватывать домашние роутеры и применять их для подмены DNS-записей, кражи логинов, паролей и платёжных данных. После изменения настроек маршрутизатора жертву можно тихо перенаправлять на поддельные сайты, а часть интернет-трафика оказывается под полным контролем злоумышленников.

Эксперты редакции CISOCLUB уверены, что главная проблема тут не TP-Link и не конкретные модели, а сама привычка относиться к роутеру как к мебели. Пока устройство в углу годами работает без обновлений и со стандартным паролем, оно остаётся открытой дверью — и заметить чужое присутствие владелец, скорее всего, так и не сможет.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: