Недавно раскрытый взлом тысяч домашних маршрутизаторов ASUS показывает, что, кроме вас и ближайших соседей, ваша домашняя точка доступа Wi-Fi нужна еще и обычным киберпреступникам, и даже хакерам на госслужбе, проводящим целевые шпионские атаки
Как используют взломанные маршрутизаторы
Домашний прокси. Когда хакеры атакуют крупные компании и госучреждения, атаку часто вычисляют по необычным адресам, с которых идет обращение к защищаемой сети. Подозрительно, когда компания работает в одной стране, а ее сотрудник внезапно входит в корпоративную сеть из другой. Не менее подозрительны обращения с известных адресов VPN-серверов. Чтобы замаскироваться, злоумышленники применяют взломанный роутер в нужной стране и даже нужном городе, рядом с объектом атаки. Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру. При мониторинге это выглядит как обычное обращение сотрудника к рабочим ресурсам из дома, ничего подозрительного.
Командный сервер. На взломанном устройстве выкладывают вредоносное ПО, чтобы скачивать его на заражаемые компьютеры. Или, наоборот, выкачивают нужную информацию из атакованной сети прямо на ваш роутер.
Ловушка для конкурентов. Роутер могут использовать как приманку, чтобы изучать способы взлома, применяемые другими группировками хакеров.
Прибор для майнинга. Любое вычислительное устройство можно применять для майнинга криптовалюты. Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно.
Инструмент манипуляции вашим трафиком. На роутере можно перехватывать и изменять содержимое интернет-соединений — так злоумышленники могут атаковать все подключенные к домашней сети устройства. Спектр применения этой техники — от кражи паролей до внедрения рекламы в веб-страницы.
Бот для DDoS-атак. Любые домашние устройства, включая роутеры, видеоняни, умные колонки и даже чайники, можно объединить в сеть ботов и «положить» любой онлайн-сервис миллионами одновременных запросов с этих устройств.
Эти варианты будут полезны разным группам злоумышленников. Если майнинг, реклама и DDoS чаще интересны киберпреступникам с финансовой мотивацией, то целевые атаки под прикрытием домашнего IP-адреса проводят либо банды вымогателей, либо группировки, занимающиеся настоящим шпионажем. Звучит как детектив, но распространено настолько широко, что об этом в разное время выпустили несколько предупреждений Американское агентство по безопасности инфраструктуры (CISA) и ФБР. Шпионы, как им и положено, действуют предельно незаметно, поэтому владельцы роутера замечают его «двойное назначение» крайне редко.
Как взламывают роутеры
Два самых распространенных способа взлома — подбор пароля к административным функциям и использование программных уязвимостей в ПО маршрутизатора. В первом случае злоумышленники пользуются тем, что хозяева оставили в роутере заводские настройки и пароль admin или сменили пароль на простой в запоминании и подборе, например 123456. Подобрав пароль, атакующие заходят в панель управления точно так же, как и владелец устройства.
Во втором случае злоумышленники дистанционно тестируют роутер, чтобы определить его производителя и модель, а затем по очереди пробуют известные уязвимости, чтобы захватить контроль над устройством.
Обычно после успешного взлома на роутер устанавливают скрытное вредоносное ПО, выполняющее нужные атакующим функции. Его можно заметить по возросшей нагрузке на интернет-канал и процессор, а иногда даже перегреву роутера. Полный сброс или обновление прошивки роутера приводят к устранению угрозы.
Выводы и советы
Атака на домашние роутеры демонстрирует характерные признаки целевых вторжений: скрытность, взлом без использования вредоносного ПО, создание канала доступа, который сохраняется после устранения уязвимости и обновления прошивки устройства. Что домашний пользователь может противопоставить таким атакующим?
Выбор роутера важен. Не удовлетворяйтесь коробочкой, которую провайдер сдает в аренду, не выбирайте по самой низкой цене. Изучите ассортимент в магазинах электроники и приобретайте модель, которая выпущена в последние год-два (и поэтому еще долго будет получать обновления). Постарайтесь выбрать производителя с серьезным отношением к безопасности. Это сложно, идеальных вариантов среди них нет. Можно ориентироваться на частоту выпуска обновлений прошивки и заявленный период техподдержки устройства.
Регулярно обновляйте прошивку устройства. Если роутер предлагает автоматический режим обновления, лучше использовать эту функцию, чтобы не заниматься обновлениями и не затягивать их. Но несколько раз в год стоит проверять «самочувствие» роутера, его настройки, а также версию прошивки. Если обновлений прошивки не было более года-полутора, возможно, пора менять роутер на новый.
Отключайте все ненужные сервисы на роутере. Пройдите по всем настройкам и отключите любые службы и «удобства», которыми не пользуетесь.
Отключите административный доступ к роутеру из Интернета (WAN) по всем каналам управления (SSH, HTTPS, Telnet и что угодно еще).
Отключите мобильные приложения для управления роутером. Хотя они удобны, их использование создает целый ряд новых рисков — кроме смартфона и роутера в дело наверняка вступит фирменный «облачный сервис». Поэтому лучше выключить этот способ управления и не пользоваться им.
Смените стандартные пароли для администрирования роутера и для подключения к Wi-Fi. Эти пароли должны быть разными. Каждый должен быть длинным и не должен состоять из очевидных слов или цифр. Если роутер позволяет, смените учетную запись (имя пользователя) с admin на что-то свое, а запись admin отключите.
Проверьте все подразделы конфигурации роутера. Изучайте следующие подозрительные моменты: наличие переадресации портов (port forwarding) на устройства домашней сети или внешнего Интернета, которые вам незнакомы, наличие дополнительных пользователей, которых вы не создавали, наличие SSH-ключей или любых других незнакомых вам реквизитов входа в систему. Если что-то подобное нашлось, поищите в Интернете комбинацию из вашей модели роутера и подозрительного фрагмента информации. Если найденная вами странность нигде не описана как системная особенность маршрутизатора, удалите эти данные.
По материалам Касперский