Brukere av tomatrutere oppfordres til å styrke passordene, eller de kan bli brutt av hackere

Enkelte nettkriminelle aktiviteter handler om skala. Hvis du vil sette i gang et bemerkelsesverdig DDoS-angrep, sende store mengder spam, eller generere en lommebok full av bitcoins ved hjelp av en kryptojacking-kampanje, for eksempel, trenger du mye maskinvare. Det er her botnett kommer inn.

Et botnet er et nettverk av servere, datamaskiner og IoT-enheter som hackere får tilgang til og kontrollerer ukjent for eierne sine. Kompromitterte sluttpunkter gir ikke bare hackere muligheten til å sette i gang angrep i massiv skala, men de gir dem også en måte å dekke sporene sine på. Som standard kan et botnet aldri være stort nok, og skurker prøver hele tiden å finne en måte å utvide nettverkene sine med hacket enheter. Nylig fortalte for eksempel forskere fra Palo Alto Networks 'Unit 42 hvordan operatørene bak Muhstik-botnet prøver å legge til nye roboter til nettverket.

Muhstik-botnettet går etter Wi-Fi-rutere som kjører på toppen av Tomato-firmware

Muhstik-botnetet har eksistert siden mars 2018, og Palo Alto Networks ’forskere har hatt mer enn noen få møter med det. Det er kjent for å ha kompromittert Linux- og WebLogic-servere med WordPress og Drupal-installasjoner, og i mai 2018 prøvde det etter sigende å utnytte et sikkerhetssårbarhet i GPON-hjemme-rutere. Kommando- og kontrollserveren (C&C) kontrollerer robotene gjennom en IRC-kanal, og så langt har den hovedsakelig brukt dem til å starte DDoS-angrep og gruve cryptocurrency.

I begynnelsen av desember la Palo Alto Networks 'forskere merke til at hackerne har oppdatert botnet. Det er nå en ekstra modul designet for å målrette Wi-Fi-rutere som kjører på Tomato-firmware.

Tomato er en åpen kildekode-firmware for hjemme-rutere som antas å være kraftigere og enklere å bruke enn konkurrentene. Først utgitt i 2006, er det tilgjengelig både for leverandører og sluttbrukere helt gratis. Palo Alto Networks ’eksperter brukte Shodan-søkemotoren for å fastslå at det i dag er rundt 4600 tomatbaserte rutere utsatt for internett. Dette virker ikke som et spesielt stort antall, men Muhstys operatører har helt klart bestemt seg for at den ekstra innsatsen er verdt det. Men hva kan vi gjøre for å stoppe dem?

Standard legitimasjon lar brukere være sårbare

Palo Alto Networks 'rapport avsluttes med en advarsel om at "sluttbrukere bør være forsiktige når de installerer open source firmware." Dette er absolutt sant. Samfunnsutviklede prosjekter mottar ikke alltid sikkerhets- og pålitelighetsoppdateringer i tide, og de kan noen ganger åpne store gapende hull som hackere lett kan utnytte. Den originale versjonen av Tomato-firmware har faktisk ikke hatt en stabil utgave på nesten et tiår, noe som taler for seg selv. I dette tilfellet er imidlertid ikke Tomatos åpen kildekode og dens alder hovedproblemene.

Ut av boksen får brukerne tilgang til deres Tomato-rutere ved å bruke enten "root" eller "admin" som brukernavn. Standardpassordet i begge tilfeller er "admin." Dette er innloggingsinformasjonen Muhstik-botnet bruker for å kompromittere enhver tomatruter den finner.

Ulike produsenter tilbyr forskjellige grafiske brukergrensesnitt, så det er ingen eneste trinnvise guide for å endre standardpassordet på alle tomatbaserte rutere. De har imidlertid alle muligheter for å gjøre det, og Muhstik-operatørene bytter brukere som ikke har brydd seg om å bruke det. Historien lærer oss at de heller ikke akkurat klamrer seg til sugerør.

Standardopplysninger er lett tilgjengelig, og brute-tvinger dem ikke innebærer et stort antall påloggingsforsøk, noe som betyr at sjansene for å reise mistanke er lave. Dette er grunnen til at hackere elsker denne spesielle metoden for å infisere folks enheter.

Brukere må lære at dingsene de kobler til internett aldri skal beskyttes av brukernavn og passord som er trykt på emballasjen eller på bunnen av enheten. Jo tidligere de gjør det, jo bedre.