Война за домашние маршрутизаторы

Согласно результатам исследования, в последнее время наблюдается резкий всплеск количества атак, направленных на маршрутизаторы. Особенно это было заметно в четвёртом квартале 2019 года. Новое исследование показывает, что рост числа злоупотреблений, связанных с этими устройствами, будет продолжаться, так как злоумышленники могут легко окупить подобные заражения в ходе дальнейших атаках с использованием захваченных маршрутизаторов.

Исследование Trend Micro показало, что в октябре 2019 года начался рост числа попыток взлома маршрутизаторов методом подбора пароля. В этом случае злоумышленники используют программное обеспечение, которое автоматически перебирает распространённые комбинации паролей. Количество подобных попыток выросло более чем в десять раз — с 23 миллионов в сентябре до почти 249 миллионов в декабре 2019 года. В марте 2020 года Trend Micro зарегистрировала почти 194 миллиона входов в систему методом перебора.

Ещё один показатель увеличения масштабов этой угрозы – попытки устройств начать telnet-сеансы с другими IoT-устройствами. Поскольку протокол telnet не подразумевает шифрования данных, злоумышленники или их ботнеты предпочитают использовать его для сбора учётных данных. Пиковый показатель был зарегистрирован в середине марта 2020 года: около 16 тысяч устройств пытались открыть сеансы telnet с другими IoT-устройствами в течение одной недели.

Эта тенденция вызывает беспокойство по нескольким причинам. Киберпреступники конкурируют друг с другом с целью скомпрометировать как можно больше маршрутизаторов, которые можно включить в ботнеты. Затем эти ботнеты продаются на подпольных сайтах либо как инструмент для осуществления DDOS-атак, либо как средство анонимизации других противозаконных действий, таких как накрутки кликов, кража данных и захват учётных записей.

Конкуренция настолько сурова, что преступники удаляют любое вредоносное ПО, обнаруженное на подвергшемся нападению маршрутизаторе и установленное конкурентом, чтобы получить исключительный контроль над устройством.

Домашний пользователь, чей маршрутизатор был скомпрометирован, в первую очередь ощутит проблемы с его производительностью. Если впоследствии устройство будет вовлечено в осуществление атак, его IP-адрес может попасть в чёрные списки, что приведёт пользователя к отключению его от ключевых частей интернета и корпоративных сетей.

Как объясняется в отчёте, существует процветающий чёрный рынок вредоносного ПО для ботнетов и ботнетов в аренду. Хотя можно взломать и использовать в составе ботнета любое устройство IoT, маршрутизаторы особенно интересны злоумышленникам, поскольку они легко доступны и напрямую подключены к интернету.

В рекомендация для домашних пользователей предстаивтели Trend Micro советуют убедиться, что вы используете надёжный пароль, а также изменяйте его время от времени. Важно также следить за тем, чтобы на маршрутизаторе была установлена последняя версия прошивки. Кроме того, почаще проверяйте журналы устройства на предмет не имеющих смысла для сети действий, а также разрешите вход в маршрутизатор только из локальной сети.

"Мы видим единую тенденцию по всему миру, так что российским пользователям также стоит уделить внимание защите своих Wi-Fi роутеров", - предупреждает технический директор Trend Micro в РФ и СНГ Михаил Кондрашин. По его словам, повышенный интерес к домашним роутерам со стороны хакерских сообществ Trend Micro наблюдает уже больше года, так что эпидемия последних месяцев не является основной причиной. "Скорее, для хакеров стала значимой сама доступность кодов для атак на домашние устройства. С другой стороны, текущая обстановка усугубляет риски, ведь компрометация роутера у сотрудника, работающего из дома, создает серьезные риски для его работодателя", - сообщает Михаил Кондрашин. Он говорит, что все зависит от того, как отреагируют ИТ и ИБ-сообщества. "Необходимо оперативно изменить отношение к безопасности домашних устройств, чтобы они перестали быть легкой добычей для злоумышленников", - утверждает Михаил Кондрашин.

"Тенденция создания бот-сетей на базе IoT существует давно, но в связи с переходом на удалёнку большого количества работников домашние маршрутизаторы стали объектом, позволяющим сравнительно легко получать конфиденциальную информацию компаний, в том числе вследствие того, что в отличии от корпоративных сетей их обычно настраивают неспециалисты, часто подключают как есть с паролями, не "апдейтят" прошивку", - рассказывает директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.

Руководитель IoT-лаборатории Avast Владислав Ильюшин подчеркивает, что ситуация с COVID-19 заставила многих людей начать постоянно работать из дома. "Это означает, что к домашним сетям было подключено гораздо большее количество устройств, чем обычно - в том числе корпоративные ноутбуки, которые могут предоставить киберпреступникам доступ к ценной и конфиденциальной бизнес-информации и мобильные телефоны, обеспечивающие доступ к электронной почте, услугам сотовой связи (включая сообщения 2FA) и прочему", - сообщает Владислав Ильюшин.

По его мнению, чем больше людей будут работать из дома, тем более желанными для киберпреступников будут их маршрутизаторы. "Доступ к роутеру позволяет злоумышленникам выполнять ряд действий, например, перехватывать DNS. При этом злоумышленники могут изменить настройки системы доменных имен (DNS) пользователей, чтобы перенаправить их с подлинного URL-адреса на фейковый веб-сайт, например, с фишинговыми сайтами или вредоносной рекламой - теоретически, там пользователи могут загрузить вредоносное ПО на свое устройство", - подчеркивает Владислав Ильюшин.

Он утверждает, что в некоторых случаях может выполняться разбор SSL (например, VPNFIlter и Torii), когда сайты, использующие протокол HTTPS, понижают его до HTTP, что позволяет злоумышленникам перехватывать незашифрованные передаваемые данные. "Теоретически, существуют еще более сложные атаки, которые злоумышленник может осуществить после получения доступа к маршрутизатору. Например, хакер может просканировать локальную сеть, чтобы попытаться заразить другие устройства. Это можно сделать, открыв порты с компьютера с Windows в Интернет, а затем попробовав эксплойты, (такие как BlueKeep, например), использующие уязвимость RDP для получения доступа к компьютеру с Windows", - считает Владислав Ильюшин.

"Атаки на роутеры и умные устройства начались не вчера. Преступники атакуют их уже несколько лет, начиная с появления знаменитой сети зараженных устройств Mirai. Атаки на роутеры и умные устройства крайне просты и в силу этого выгодны - ими могут заниматься даже школьники", - утверждает ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев.

По его словам, вероятность успеха атаки на устройства повышает то, что подавляющее большинство пользователей не обновляет свои устройства и даже не знает как и зачем это делать. "Устройства используются подобно мясорубке или микроволновке. Купил, поставил и забыл. Речи об обновлениях, сложных паролях, отключении ненужного функционала даже не идет. Не менее трети пользователей, особенно те, кому устройства поставили провайдеры сети Интернет - воспринимают их как розетку с огоньками. И даже не знают, как искать информацию об их настройке (и это факт). В этих условиях атаки на устройства - это скорее развлечения, чем атаки", - рассказывает Вячеслав Медведев.

Он говорит, что, несмотря на это, в "Доктор Веб" не фиксируют подобного увеличения атак (в 10 раз). "По нашим данным количество атак с января 2019 по март 2020 существенно не изменялось и находилось около средней отметки в 12 млн атак в месяц. Единственное существенное отклонение от среднего значения фиксировалось в июле-августе 2019 с увеличением количества атак до 16-18 млн атак в месяц", - информирует Вячеслав Медведев. Он подчеркивает, что рост атак из России с использованием IoT ботнетов "Доктор Веб" действительно фиксирует с марта 2020 года. "Но по нашим данным пандемия никак не отразилась на угрозах для IoT. По нашим прогнозам особого роста такого рода атак не будет, но и снижения количества атак не предвидится тоже", - рассказывает "Доктор Веб".