Тысячи роутеров D-Link тайно работают на хакеров — может быть и ваш?

Аналитики Qianxin зафиксировали новую ботнет-платформу AryStinger, под контролем которой оказались свыше 4000 устаревших маршрутизаторов D-Link по всему миру. Заражённое оборудование используется не для классических DDoS-атак, а как распределённая инфраструктура для разведки, проксирования трафика, скрытого управления операциями и подготовки последующих вторжений.

Исследование вела группа анализа угроз XLab. Эксперты установили, что вредоносная программа превращает каждый скомпрометированный роутер в удалённо управляемый узел, способный выполнять широкий спектр задач по команде операторов.

Большинство владельцев заражённого оборудования даже не догадываются о происходящем. Домашний или офисный маршрутизатор продолжает работать в обычном режиме, при этом параллельно выполняя команды управляющего сервера и участвуя в операциях против совершенно посторонних целей.

Стоит обратить внимание, что архитектура AryStinger построена принципиально иначе, чем у большинства ранее изученных ботнетов подобного класса.

Распределённая модель работы стала отличительной чертой новой угрозы. Операторы дробят крупные задачи на множество мелких частей и раскидывают их между тысячами заражённых устройств. Каждый узел берёт на себя ничтожный объём работы, а затем результаты сводятся в единый массив данных. Подобная схема резко повышает живучесть инфраструктуры и затрудняет её обнаружение средствами защиты.

Скомпрометированные роутеры пригодны для целого набора задач:

• сканирование внешних и внутренних сетей;
• пересылка трафика через прокси-механизмы;
• построение туннелей связи для скрытой коммуникации;
• выполнение произвольных команд от управляющего сервера;
• загрузка и запуск дополнительных вредоносных модулей.

Угроза AryStinger выходит далеко за рамки использования роутеров как промежуточных узлов. Вредонос вмешивается в работу DNS-настроек, перенаправляет сетевые запросы пользователей и отслеживает передаваемые через устройство данные. Маршрутизатор находится между пользователем и интернетом, поэтому его компрометация открывает злоумышленникам доступ к огромному объёму сетевой активности — от посещаемых сайтов до содержимого незашифрованных сессий.

Для проникновения на устройства AryStinger опирается на известные уязвимости, многие из которых опубликованы много лет назад. Исследователи перечислили CVE-2013-3307, CVE-2016-5681 и CVE-2025-11837. Основной мишенью стали модели D-Link DIR-850L и DIR-818LW — оба роутера сняты с поддержки производителем, обновления безопасности на них больше не выходят, и владельцы остаются один на один с любыми новыми атаками.

Эти же модели уже фигурировали в киберкриминальной хронике. В 2023 году компания Lumen смогла нарушить деятельность ботнета AVrecon, который тоже эксплуатировал устаревшее оборудование D-Link.

Телеметрия Qianxin показала, как распределены жертвы по миру:

• Южная Корея — 48,5%;
• Китай — 31,8%;
• Швеция — 6,4%;
• Малайзия — 3,5%;
• Сингапур — 2,5%.

Такая география подтверждает, что операторы AryStinger ведут работу в глобальном масштабе и не привязаны к одному региону.

В ходе анализа аналитики обнаружили сразу две версии вредоноса. Первая написана на C и нацелена преимущественно на роутеры — на её долю приходится подавляющая часть зафиксированных заражений. Вторая создана на Go и ориентирована на сетевые хранилища NAS. Распространение Go-версии пока скромнее, но её функциональные возможности выглядят гораздо шире.

Интересно, что NAS-вариант фактически перерастает рамки обычного прокси-узла и приближается к полноценному инструменту разведки внутри корпоративной инфраструктуры.

Go-сборка поддерживает сканирование IP-диапазонов, операции с DNS, доставку и запуск полезных нагрузок, исполнение удалённых команд и исследование внутренних сетей организации. Для всего этого задействуются открытые инструменты пентеста. При наличии доступа к корпоративному сегменту такой узел может собирать данные о подключённых системах и готовить почву для дальнейших атак.

Отдельно исследователи выделили распределённый механизм DNS-сканирования, встроенный в ботнет. Теоретически он способен порождать колоссальный объём запросов к DNS-серверам. Подобных операций пока в дикой среде не наблюдалось, но техническая возможность сохраняется и может быть активирована в любой момент.

Возможности Go-версии не ограничиваются сетевыми операциями:

• выполнение shell-сценариев на заражённых NAS;
• запуск кода на Go;
• исполнение Java-кода;
• работа со сценариями на Python.

При этом у такого подхода есть обратная сторона. Использование исходного кода вместо готовых бинарных файлов требует соответствующих сред выполнения на устройстве жертвы, а сама процедура компиляции порождает шум, который заметно облегчает работу защитников.

Происхождение AryStinger пока остаётся загадкой. Специалисты XLab не смогли увязать новый ботнет ни с одной известной группировкой или ранее задокументированной кампанией. Вокруг платформы остаётся слишком много открытых вопросов — от мотивации операторов до конечных целей всей операции.

Владельцам устаревших маршрутизаторов рекомендуется как можно скорее заменить оборудование на современные модели с активной поддержкой. До замены стоит установить последние доступные прошивки, сменить заводские пароли администратора и полностью отключить функции удалённого управления, если они не задействованы в работе. Для моделей, снятых с поддержки несколько лет назад, замена железа остаётся наиболее надёжным способом защиты.

Ранее мы писали о том, что ФБР и Министерство юстиции США сообщили о деятельности русскоязычной хакерской группы, которая на протяжении нескольких лет использовала уязвимые домашние маршрутизаторы для перехвата интернет-трафика и кражи учётных данных. По данным американских властей, основной целью злоумышленников стали устаревшие роутеры TP-Link, работающие без обновлений прошивки в домах и небольших офисах. После компрометации устройств атакующие подменяли DNS-настройки, перенаправляя часть пользовательских запросов через подконтрольную им инфраструктуру.

Эксперты редакции CISOCLUB сообщили, что AryStinger укладывается в общий тренд последних лет — атакующие переходят от шумных DDoS-кампаний к тихой эксплуатации брошенного производителями оборудования. Устаревшие роутеры превращаются в идеальный плацдарм для разведки и анонимизации, потому что обновлений на них не будет уже никогда, а владельцы не воспринимают такое железо как ИТ-актив.

Распределённая модель работы и поддержка нескольких языков программирования в NAS-версии говорят о высокой технической зрелости операторов.

Редакция полагает, что в ближайшие месяцы появятся новые ботнеты с похожей архитектурой, нацеленные на снятое с поддержки оборудование других вендоров. Замена устаревшего сетевого железа должна перестать быть вопросом удобства и стать обязательным элементом базовой гигиены и для дома, и для бизнеса.