Пользователям томатных роутеров настоятельно рекомендуется укреплять пароли, иначе их могут взломать хакеры

Определенные киберпреступные действия - все о масштабе. Если вы хотите запустить заслуживающую внимания DDoS-атаку, отправить большое количество спама или сгенерировать кошелек, полный биткойнов, например, с помощью кампании по криптографии, вам понадобится много оборудования. Это где ботнеты приходят.

Ботнет - это сеть серверов, компьютеров и IoT-устройств, которые хакеры получают доступ и контролируют без ведома своих владельцев. Скомпрометированные конечные точки не только дают хакерам возможность проводить атаки в огромных масштабах, но также предоставляют им способ скрывать свои следы, поэтому ботнеты иногда используются даже в сложных шпионских кампаниях. По умолчанию ботнет никогда не может быть достаточно большим, и мошенники постоянно пытаются найти способ расширения своих сетей взломанных устройств. Например, недавно исследователи из подразделения 42 Palo Alto Networks рассказали нам, как операторы, стоящие за ботнетом Muhstik, пытаются добавить новых ботов в сеть.

Ботнет Muhstik идет после Wi-Fi роутеров, работающих поверх прошивки Tomato

Ботнет Muhstik существует с марта 2018 года, и исследователи Palo Alto Networks сталкивались с ним не раз. Он известен тем, что компрометировал серверы Linux и WebLogic с помощью установок WordPress и Drupal, и в мае 2018 года он пытался использовать уязвимость безопасности в домашних маршрутизаторах GPON. Сервер командования и управления (C&C) контролирует ботов через канал IRC, и до сих пор он использует их в основном для запуска DDoS-атак и майнинга криптовалюты.

В начале декабря исследователи Palo Alto Networks заметили, что хакеры обновили ботнет. Теперь есть дополнительный модуль, предназначенный для маршрутизаторов Wi-Fi, работающих на прошивке Tomato.

Tomato - это прошивка с открытым исходным кодом для домашних маршрутизаторов, которая должна быть более мощной и простой в использовании, чем ее конкуренты. Впервые выпущенный в 2006 году, он доступен как для поставщиков, так и для конечных пользователей совершенно бесплатно. Эксперты Palo Alto Networks использовали поисковую систему Shodan, чтобы определить, что в настоящее время в Интернете работает около 4600 маршрутизаторов на основе томатов. Это не кажется особенно большим числом, но операторы Muhstik ясно решили, что дополнительные усилия стоят того. Но что мы можем сделать, чтобы остановить их?

Учетные данные по умолчанию делают пользователей уязвимыми

Отчет Palo Alto Networks заканчивается предупреждением о том, что «конечные пользователи должны быть осторожны при установке прошивки с открытым исходным кодом». Это определенно верно. Разработанные сообществом проекты не всегда вовремя получают обновления безопасности и надежности, и иногда они могут открыть огромные зияющие дыры, которые хакеры могут легко использовать. Действительно, оригинальная версия прошивки Tomato не имела стабильного выпуска в течение почти десятилетия, что говорит само за себя. В данном конкретном случае, однако, природа открытого томата и его возраст не являются основными проблемами.

Из коробки пользователи получают доступ к своим маршрутизаторам Tomato, используя в качестве имени пользователя «root» или «admin». Пароль по умолчанию в обоих случаях - «admin». Это учетные данные, которые ботнет Muhstik использует для компрометации любого найденного маршрутизатора Tomato.

Разные производители предлагают разные графические пользовательские интерфейсы, поэтому нет единого пошагового руководства по изменению пароля по умолчанию на всех маршрутизаторах на базе Tomato. Однако все они предлагают средства для этого, и операторы Muhstik охотятся за пользователями, которые не удосужились его использовать. История учит нас, что они не совсем цепляются за соломинку.

Учетные данные по умолчанию легко получить, и их перебор не требует большого количества попыток входа в систему, а это означает, что вероятность возникновения подозрений невелика. Вот почему хакеры любят этот конкретный метод заражения устройств людей.

Пользователи должны знать, что гаджеты, которые они подключают к Интернету, никогда не должны быть защищены именами пользователей и паролями, напечатанными на упаковке или на нижней части устройства. Чем раньше они это сделают, тем лучше.