Użytkownicy routerów pomidorowych są zachęcani do wzmacniania haseł lub mogą zostać złamani przez hakerów

Niektóre działania cyberprzestępcze dotyczą skali. Jeśli chcesz przeprowadzić godny uwagi atak DDoS, wysłać duże ilości spamu lub wygenerować portfel pełen bitcoinów za pomocą kampanii kryptograficznej, na przykład potrzebujesz dużo sprzętu. To tutaj pojawiają się botnety.

Botnet to sieć serwerów, komputerów i urządzeń IoT, które hakerzy uzyskują dostęp do swoich właścicieli i kontrolują je bez wiedzy. Zaatakowane punkty końcowe nie tylko dają hakerom możliwość przeprowadzania ataków na masową skalę, ale także zapewniają im sposób na zatarcie śladów, dlatego botnety są czasami używane nawet w wyrafinowanych kampaniach szpiegujących. Domyślnie botnet nigdy nie może być wystarczająco duży, a oszuści nieustannie próbują znaleźć sposób na rozszerzenie swoich sieci zaatakowanych urządzeń. Ostatnio, na przykład, badacze z jednostki 42 firmy Palo Alto Networks powiedzieli nam, w jaki sposób operatorzy botnetu Muhstik próbują dodać nowe boty do sieci.

Botnet Muhstik działa po routerach Wi-Fi działających na oprogramowaniu układowym Tomato

Botnet Muhstik istnieje od marca 2018 roku, a badacze z Palo Alto Networks mieli z nim więcej niż kilka spotkań. Jest znany z narażania serwerów Linux i WebLogic na instalacje WordPress i Drupal, aw maju 2018 r. Podobno próbował wykorzystać lukę w zabezpieczeniach domowych routerów GPON. Serwer Command and Control (C&C) kontroluje boty za pośrednictwem kanału IRC i jak dotąd wykorzystuje je głównie do przeprowadzania ataków DDoS i wydobywania kryptowaluty.

Na początku grudnia naukowcy z Palo Alto Networks zauważyli, że hakerzy zaktualizowali botnet. Dostępny jest teraz dodatkowy moduł przeznaczony do obsługi routerów Wi-Fi działających na oprogramowaniu Tomato.

Tomato to oprogramowanie typu open source do domowych routerów, które ma być mocniejsze i łatwiejsze w użyciu niż jego konkurenci. Wydany po raz pierwszy w 2006 roku, jest dostępny zarówno dla dostawców, jak i użytkowników końcowych całkowicie bezpłatnie. Eksperci Palo Alto Networks wykorzystali wyszukiwarkę Shodan do ustalenia, że obecnie około 4 600 routerów opartych na pomidorach jest narażonych na działanie Internetu. Nie wydaje się to szczególnie dużą liczbą, ale operatorzy Muhstika wyraźnie zdecydowali, że dodatkowy wysiłek jest tego wart. Ale co możemy zrobić, aby ich powstrzymać?

Domyślne poświadczenia narażają użytkowników na niebezpieczeństwo

Raport Palo Alto Networks kończy się ostrzeżeniem, że „użytkownicy końcowi powinni zachować ostrożność podczas instalowania oprogramowania układowego typu open source”. To jest zdecydowanie prawda. Projekty opracowane przez społeczność nie zawsze otrzymują aktualizacje bezpieczeństwa i niezawodności na czas, a czasem mogą otwierać ogromne luki, które hakerzy mogą z łatwością wykorzystać. Rzeczywiście, oryginalna wersja oprogramowania Tomato nie była stabilna od prawie dekady, co mówi samo za siebie. W tym konkretnym przypadku jednak natura open source Tomato i jego wiek nie są głównymi problemami.

Po wyjęciu z pudełka użytkownicy uzyskują dostęp do routerów Tomato, używając nazwy użytkownika „root” lub „admin”. Domyślne hasło w obu przypadkach to „admin”. Są to dane logowania używane przez botnet Muhstik w celu naruszenia bezpieczeństwa dowolnego znalezionego routera Tomato.

Różni producenci oferują różne graficzne interfejsy użytkownika, więc nie ma jednego, szczegółowego przewodnika dotyczącego zmiany domyślnego hasła we wszystkich routerach Tomato. Wszystkie oferują jednak taką możliwość, a operatorzy Muhstik żerują na użytkownikach, którzy nie zadali sobie z tego trudu. Historia uczy nas, że też nie trzymają się dokładnie słomek.

Domyślne dane uwierzytelniające są łatwo dostępne, a brutalne ich wymuszanie nie wymaga dużej liczby prób logowania, co oznacza, że szanse na wzbudzenie podejrzeń są niskie. Właśnie dlatego hakerzy uwielbiają tę szczególną metodę infekowania urządzeń ludzi.

Użytkownicy muszą dowiedzieć się, że gadżety, które łączą z Internetem, nigdy nie powinny być chronione nazwami użytkowników i hasłami wydrukowanymi na opakowaniu lub na spodzie urządzenia. Im szybciej to zrobią, tym lepiej.