Компания Incapsula, занимающаяся исследованиями в сфере информационной безопасности, сообщает о том, что некая группа (скорее всего с участием Anonymous) создала ботнет из тысяч роутеров, установленных в офисах и квартирах. При этом использовались даже не уязвимости роутеров, а невнимание владельцев к безопасности, когда пользователь оставляет дефолтный логин и пароль. Дефолтные связки логин/пароль для практически всех моделей роутеров давно известны, поэтому использовать этот метод можно без труда.
Тем не менее, работа со стороны создателей ботнета была проделана солидная: в единую сеть объединили роутеры из США, Тайланда и Бразилии. Работать ботнет начал с конца декабря 2014 года, поражая десятки целей. Используя пропускную способность домашних и офисных каналов связи, злоумышленники создали довольно мощное оружие, которое использовалось против разного рода онлайн-мишеней.
Anonymous подозреваются в участии не просто так, а по одной серьезной причине: многие скомпрометированные роутеры передавали данные на сервер AnonOps.com, точка сбора Anonymous. Возможно, эта группа была не единственной, кто принимал участие в создании ботнета.
Впервые деятельность ботнета была замечена в прошлом году, когда Incapsula стала получать жалобы от своих клиентов, пострадавших от работы ботнета (как прямо, так и косвенно). Дальнейшее расследование, что формирование ботнета стало возможным благодаря открытости тысяч роутеров с фабричными настройками входа.
Все роутеры были доступны по HTTP и SHH, с дефолтными портами. При этом оборудование взламывалось не вручную, а при помощи специального ПО. Это программное обеспечение заражало уязвимые роутеры, которые затем сами искали «жертв», заражая доступные устройства. Скрипт работал эффективно, что позволило объединить в единую сеть тысячи устройств. Для того чтобы избежать попадания в black-lists, использовалось распределенное сканирование сети. При этом злоумышленники использовали сразу несколько типов ПО, включая популярный троян MrBlack, а также неизвестное ПО, которое пока не идентифицировано.
С полным отчетом компании Incapsula по этой проблеме можно ознакомиться здесь.
Комментарии (11)
KOLANICH
13.05.2015 21:39>Anonymous подозреваются в участии не просто так, а по одной серьезной причине: многие скомпрометированные роутеры передавали данные на сервер AnonOps.com, точка сбора Anonymous.
А если АНБ начнёт передавать данные на сервер anonops.com со взломанных компов, это сделает взломы Анб взломами «анонимусов»? Нет никакой группировки анонимус, но «изнасилованным учёными» журналюгам на это плевать
Kop3t3
14.05.2015 14:43Зачем Интернет вообще? Можно использовать WI-FI, поскольку роутеры находятся в домах в прямой видимости (и между домами тоже). Существует возможность создать вирус, который будет поражать роутеры подбирая пароль к wifi (или WPA), затем брутить админку, выгружать конфиг, прошивать своей прошивкой, которая будет имитировать заводскую.Все данные будут передаваться исключительно по wifi, не выходя в интернет. Для уменьшения вероятности обнаружения не будут заражаться роутеры с dd/open wrt и клиенты локальной сети. В результате получится анонимная сеть покруче ТОРа, с возможностью распределения трафика по категориям (торренты качаем через роутер «школьника», брутим через роутер «кулхацкера») и халявным интернетом по всему городу. Минусов два: уголовный кодекс и обилие моделей роутеров, для каждой из которых нужна своя прошивка.
c0yc
Так вроде у большинства роутеров доступ из-за NAT выключен по-умолчанию? Мне кажется, что вероятнее всего заражение компьютера за NAT`ом, который уже после начинает ломать роутер в своей сети.
mrThe
Не факт. Я как-то, для разнообразия, просканировал часть пула ip своего провайдера на 80 порт. Большинство сервисов на этом порту — как раз морды роутеров, где на большей их части — дефолтные пароли.
IRainman
Сранно (это не опечатка). Но ведь с настройками по умолчанию такого поведения явно не должно быть. То есть пользователь сам включил доступ из WAN к своей железке, но не поменял пароль по умолчанию? O_o В общем я искренне пытаюсь понять почему этот способ работает и так массово если дело не в уязвимости, но не понимаю ибо настройкам по умолчанию это не соответствует нигде.
realscorp
Вполне может быть, что это провайдерские роутеры, из тех что по акции за N рублей ставят всем желающим абонентам. И открытый по-умолчанию 80 порт как раз оставлен для облегчения работы техподдержки провайдера.
alcr
Тогда у них должен быть пароль другим. Провайдер когда меняет настройки раздаваемым роутерам как бы и пароль должен поменять.
mrThe
Очень часто там один и тот же пароль(хоть и нестандартный) или пароль с извесным шаблоном. Например один из провайдеров в моем городе на своих роутерах ставит пароль на вайфай из 8 случайных символов. Имея wpa handshake — подобрать его становится делом пары часов.
Apazhe
Да хрен там.
Живу в Рио де Жанейро, провайдер NET. Пароль админки на всех их домашних роутерах один и тот же уже минимум как три года. Знаю это, потому что нашёл его гуглём в блоге какого-то местного гринго.
alcr
Значит плохой провайдер, негодный :)
Наши раздавали (про которых знаю что раздавали) с настроенным паролем от пользовательской учетки биллинга — у каждого свой пароль.
UPD: Наши == Курганские
IRainman
Может и так, но в таких случаях принято ограничивать доступ к админке набором определённых IP. В общем всё равно странно.