A paradicsom-útválasztók felhasználóinak sürgetniük kell a jelszavak megerősítését, vagy a hackerek megsérthetik őket.

Egyes kiberbűnözői tevékenységek mind méretarányosak. Például, ha figyelemre méltó DDoS támadást akar indítani, nagy mennyiségű spam küldését, vagy például egy rejtjelező kampány segítségével generál bitcoinokkal teli pénztárcát, sok hardverre van szüksége. Itt jönnek a botnetek.

A botnet olyan kiszolgálók, számítógépek és tárgyak internete eszközök hálózata, amelybe a hackerek hozzáféréssel rendelkeznek, és a tulajdonosok ismeretlen irányítása alatt állnak. A kompromittált végpontok nemcsak a hackerek számára nyújtanak lehetőséget nagyszabású támadások indítására, hanem lehetőséget biztosítanak számukra a sávok lefedésére is, ezért a botneteket néha még kifinomult spyware kampányokban is használják. Alapértelmezés szerint a botnet soha nem lehet elég nagy, és a botrányok folyamatosan próbálják megtalálni a módját a feltört eszközök hálózatainak kibővítésére. A közelmúltban például a Palo Alto Networks 42. egységének kutatói elmondták nekünk, hogy a Muhstik botnet mögött található operátorok miként próbálnak új botokat hozzáadni a hálózathoz.

A Muhstik botnet a Tomato firmware tetején futó Wi-Fi útválasztók után indul

A Muhstik botnet 2018 márciusa óta működik, és a Palo Alto Networks kutatói több, mint néhány alkalommal találkoztak vele. Ismert, hogy veszélyezteti a Linux és a WebLogic kiszolgálókat a WordPress és a Drupal telepítésekkel, és 2018 májusában állítólag a GPON otthoni útválasztóinak biztonsági rését kihasználta. A Command and Control szerver (C&C) egy IRC csatornán keresztül vezérli a botokat, és eddig elsősorban DDoS támadások indítására és a kriptovaluták engedésére használta őket.

December elején a Palo Alto Networks kutatói észrevették, hogy a hackerek frissítették a botnet. Most van egy kiegészítő modul, amelyet a Tomato firmware-en futó Wi-Fi útválasztók célzására terveztek.

A Tomato egy otthoni útválasztókhoz használt nyílt forrású firmware, amely állítólag erősebb és könnyebben használható, mint a versenytársai. Az első, 2006-ban kiadott, teljesen ingyenesen elérhető a gyártók és a végfelhasználók számára. A Palo Alto Networks szakértői a Shodan keresőmotor segítségével állapították meg, hogy jelenleg mintegy 4600 paradicsom alapú útválasztó van kitéve az internetnek. Ez nem tűnik különösebben nagy számnak, de a Muhstik szolgáltatói egyértelműen úgy döntöttek, hogy az extra erőfeszítés megéri. De mit tehetnénk megállítani?

Az alapértelmezett hitelesítő adatok kiszolgáltatottá teszik a felhasználókat

A Palo Alto Networks jelentése egy figyelmeztetéssel zárul: "A végfelhasználóknak óvatosnak kell lenniük a nyílt forrású firmware telepítésekor". Ez minden bizonnyal igaz. A közösség által kifejlesztett projektek nem mindig kapják meg a biztonsági és megbízhatósági frissítéseket időben, és időnként hatalmas tátongó lyukakat nyithatnak meg, amelyeket a hackerek könnyen kihasználhatnak. Valójában a Tomato firmware eredeti verziója közel egy évtizede nem volt stabil kiadással, amely önmagáért beszél. Ebben az esetben azonban a Tomato nyílt forráskódú jellege és kora nem a legfőbb probléma.

A dobozból a felhasználók hozzáférhetnek a paradicsom-útválasztóikhoz, root felhasználó vagy admin felhasználónévként. Az alapértelmezett jelszó mindkét esetben az "admin". Ezeket a bejelentkezési hitelesítő adatokat használja a Muhstik botnet minden megtalált paradicsom-útválasztó veszélyeztetéséhez.

A különböző gyártók különféle grafikus felhasználói felületeket kínálnak, tehát nincs egyetlen, lépésről lépésre szóló útmutató az alapértelmezett jelszó megváltoztatásához az összes paradicsom alapú útválasztón. Mindazonáltal mindegyik lehetőséget kínál erre a feladatra, és a Muhstik operátorok olyan felhasználókat próbálnak felhasználni, akik még nem zavarják a használatát. A történelem azt tanítja nekünk, hogy ők sem pontosan szorítják a szalmát.

Az alapértelmezett hitelesítő adatok könnyen beszerezhetők, és a bruttó kényszerítésük nem jelent sok bejelentkezési kísérletet, ami azt jelenti, hogy a gyanú felvetésének esélye alacsony. Ez az oka annak, hogy a hackerek szeretik ezt a módszert az emberek eszközeinek megfertőzésére.

A felhasználóknak meg kell tanulniuk, hogy az internethez csatlakoztatott eszközöket soha nem szabad védeni a csomagoláson vagy az eszköz alján feltüntetett felhasználónevekkel és jelszavakkal. Minél előbb megteszik, annál jobb.