Οι χρήστες δρομολογητών ντομάτας καλούνται να ενισχύσουν τους κωδικούς πρόσβασης ή θα μπορούσαν να παραβιαστούν από τους χάκερς

Ορισμένες δραστηριότητες εγκληματικότητας στον κυβερνοχώρο αφορούν την κλίμακα. Εάν θέλετε να ξεκινήσετε μια αξιοσημείωτη επίθεση DDoS, να στείλετε μεγάλες ποσότητες spam ή να δημιουργήσετε ένα πορτοφόλι γεμάτο bitcoins με τη βοήθεια μιας καμπάνιας cryptojacking, για παράδειγμα, χρειάζεστε πολύ υλικό. Εδώ μπαίνουν τα botnets.

Ένα botnet είναι ένα δίκτυο διακομιστών, υπολογιστών και συσκευών IoT που οι χάκερ αποκτούν πρόσβαση και έλεγχο χωρίς γνώση των ιδιοκτητών τους. Τα συμβιβασμένα τελικά σημεία όχι μόνο δίνουν στους χάκερς τη δυνατότητα να εκτοξεύσουν επιθέσεις σε τεράστια κλίμακα, αλλά τους παρέχουν και έναν τρόπο κάλυψης των κομματιών τους, γι 'αυτό και τα botnets χρησιμοποιούνται μερικές φορές και σε εξελιγμένες εκστρατείες spyware. Από προεπιλογή, ένα botnet δεν μπορεί ποτέ να είναι αρκετά μεγάλο, και οι απατεώνες προσπαθούν συνεχώς να βρουν έναν τρόπο να επεκτείνουν τα δίκτυά τους από συσκευές που έχουν καταστραφεί. Πρόσφατα, για παράδειγμα, οι ερευνητές από τη Μονάδα 42 του Palo Alto Networks μας είπαν πως οι φορείς εκμετάλλευσης πίσω από το botnet Muhstik προσπαθούν να προσθέσουν νέα bots στο δίκτυο.

Το botnet Muhstik πηγαίνει μετά από δρομολογητές Wi-Fi που τρέχουν πάνω από το firmware της Τομάτας

Ο botnet Muhstik βρίσκεται γύρω από τον Μάρτιο του 2018 και οι ερευνητές του Palo Alto Networks είχαν περισσότερες από λίγες συναντήσεις με αυτόν. Είναι γνωστό ότι συμβιβάζεται με τους διακομιστές Linux και WebLogic με τις εγκαταστάσεις του WordPress και του Drupal και τον Μάιο του 2018 προσπαθούσε να εκμεταλλευτεί μια ευπάθεια ασφαλείας στους οικιακούς δρομολογητές GPON. Ο διακομιστής Command and Control (C & C) ελέγχει τα bots μέσω ενός καναλιού IRC και μέχρι στιγμής τα χρησιμοποιούσε κυρίως για να ξεκινήσει τις επιθέσεις DDoS και την κρυπτογράφηση των ορυχείων.

Στις αρχές Δεκεμβρίου, οι ερευνητές του Palo Alto Networks διαπίστωσαν ότι οι hackers έχουν ενημερώσει το botnet. Υπάρχει τώρα μια πρόσθετη ενότητα που έχει σχεδιαστεί για να στοχεύει δρομολογητές Wi-Fi που εκτελούνται στο firmware της Τομάτας.

Η ντομάτα είναι ένα firmware ανοιχτού κώδικα για οικιακούς δρομολογητές που υποτίθεται ότι είναι πιο ισχυρό και πιο εύκολο στη χρήση από τους ανταγωνιστές της. Πρώτα κυκλοφόρησε το 2006, είναι διαθέσιμο τόσο για τους πωλητές όσο και για τους τελικούς χρήστες εντελώς δωρεάν. Οι εμπειρογνώμονες του Palo Alto Networks χρησιμοποίησαν τη μηχανή αναζήτησης Shodan για να διαπιστώσουν ότι υπάρχουν σήμερα περίπου 4.600 δρομολογητές με βάση την τομάτα που εκτίθενται στο Διαδίκτυο. Αυτό δεν φαίνεται να είναι ένας ιδιαίτερα μεγάλος αριθμός, αλλά οι χειριστές του Muhstik έχουν αποφασίσει σαφώς ότι η πρόσθετη προσπάθεια αξίζει τον κόπο. Αλλά τι μπορούμε να κάνουμε για να τους σταματήσουμε;

Τα προεπιλεγμένα διαπιστευτήρια αφήνουν τους χρήστες ευάλωτους

Η έκθεση του Palo Alto Networks ολοκληρώνεται με μια προειδοποίηση ότι "οι τελικοί χρήστες θα πρέπει να είναι προσεκτικοί κατά την εγκατάσταση του firmware ανοιχτού κώδικα". Αυτό είναι σίγουρα αλήθεια. Τα έργα που αναπτύσσονται από την Κοινότητα δεν λαμβάνουν πάντοτε έγκαιρα ενημερώσεις ασφαλείας και αξιοπιστίας και μερικές φορές θα μπορούσαν να ανοίξουν τεράστιες τρύπες που οι χάκερ μπορούν εύκολα να εκμεταλλευτούν. Πράγματι, η αρχική έκδοση του firmware Tomato δεν είχε σταθερή απελευθέρωση για σχεδόν μια δεκαετία, η οποία μιλάει για τον εαυτό της. Σε αυτή τη συγκεκριμένη περίπτωση, ωστόσο, η φύση ανοιχτού κώδικα και η ηλικία της Tomato δεν είναι τα κύρια προβλήματα.

Από το κουτί, οι χρήστες έχουν πρόσβαση στους δρομολογητές ντομάτας χρησιμοποιώντας είτε το "root" είτε το "admin" ως όνομα χρήστη. Ο προεπιλεγμένος κωδικός πρόσβασης και στις δύο περιπτώσεις είναι "admin". Αυτά είναι τα διαπιστευτήρια σύνδεσης που χρησιμοποιεί το botnet του Muhstik για να θέσει σε κίνδυνο οποιονδήποτε δρομολογητή ντομάτας που βρίσκει.

Διαφορετικοί κατασκευαστές προσφέρουν διαφορετικές διεπαφές γραφικών χρηστών, οπότε δεν υπάρχει κανένας μοναδικός οδηγός βήμα προς βήμα για την αλλαγή του προεπιλεγμένου κωδικού πρόσβασης σε όλους τους δρομολογητές που βασίζονται στην τομάτα. Όλοι όμως προσφέρουν δυνατότητα για να το κάνουν, και οι χειριστές του Muhstik αρνούνται σε χρήστες που δεν έχουν ενοχληθεί να το χρησιμοποιήσουν. Η ιστορία μας διδάσκει ότι δεν συμπιέζονται ακριβώς στα καλαμάκια.

Τα προεπιλεγμένα διαπιστευτήρια είναι εύκολα διαθέσιμα και τα βίαια εξαναγκαστικά τους δεν συνεπάγονται μεγάλο αριθμό προσπαθειών σύνδεσης, πράγμα που σημαίνει ότι οι πιθανότητες δημιουργίας υποψιών είναι χαμηλές. Αυτός είναι ο λόγος για τον οποίο οι χάκερ αγαπούν αυτή τη συγκεκριμένη μέθοδο για τη μόλυνση των συσκευών των ανθρώπων.

Οι χρήστες πρέπει να μάθουν ότι τα gadget που συνδέονται με το διαδίκτυο δεν πρέπει ποτέ να προστατεύονται από τα ονόματα χρηστών και τους κωδικούς πρόσβασης που εμφανίζονται στη συσκευασία ή στο κάτω μέρος της συσκευής. Όσο πιο γρήγορα το κάνουν, τόσο το καλύτερο.