Användare av tomatrutrar uppmanas att stärka lösenord, eller de kan brytas av hackare

Vissa cyberkriminella aktiviteter handlar om skala. Om du vill starta en anmärkningsvärd DDoS-attack, skicka stora mängder skräppost eller generera en plånbok full av bitcoins med hjälp av en kryptokjackkampanj, till exempel, behöver du mycket hårdvara. Det är här botnät kommer in.

Ett botnet är ett nätverk av servrar, datorer och IoT-enheter som hackare får tillgång till och kontrollerar ovetande för sina ägare. Komprometterade slutpunkter ger inte bara hackare möjlighet att starta attacker i massiv skala, utan de ger dem också ett sätt att täcka sina spår, varför botnät ibland används även i sofistikerade spionprogramkampanjer. Som standard kan ett botnet aldrig bli tillräckligt stort, och skurkar försöker ständigt hitta ett sätt att utöka sina nätverk med hackade enheter. Nyligen, till exempel, berättade forskare från Palo Alto Networks Unit 42 hur operatörerna bakom Muhstik-botnet försöker lägga till nya bots till nätverket.

Muhstik-botnet går efter Wi-Fi-routrar som körs ovanpå Tomato-firmware

Muhstik botnet har funnits sedan mars 2018, och Palo Alto Networks forskare har haft mer än några få möten med det. Det är känt för att kompromissa med Linux- och WebLogic-servrar med WordPress- och Drupal-installationer, och i maj 2018 försökte det enligt uppgift utnyttja en säkerhetsproblem i GPON-hemmarrutrar. Command and Control-servern (C&C) styr bots genom en IRC-kanal, och hittills har den huvudsakligen använt dem för att starta DDoS-attacker och mina cryptocurrency.

I början av december märkte Palo Alto Networks forskare att hackarna har uppdaterat botnet. Det finns nu en ytterligare modul avsedd att rikta in sig på Wi-Fi-routrar som körs på Tomato-firmware.

Tomato är en öppen källkods firmware för hem routrar som är tänkt att vara mer kraftfull och lättare att använda än sina konkurrenter. Först släppt 2006, är det tillgängligt både för leverantörer och slutanvändare helt gratis. Palo Alto Networks experter använde Shodan-sökmotorn för att fastställa att det för närvarande är cirka 4 600 tomatbaserade routrar exponerade för internet. Detta verkar inte som ett särskilt stort antal, men Muhstiks operatörer har tydligt beslutat att den extra ansträngningen är värt det. Men vad kan vi göra för att stoppa dem?

Standarduppgifter lämnar användare sårbara

Palo Alto Networks rapport avslutas med en varning om att "slutanvändare bör vara försiktiga när de installerar open source firmware." Detta är definitivt sant. Gemenskapsutvecklade projekt får inte alltid säkerhets- och tillförlitlighetsuppdateringar i tid, och de kan ibland öppna stora gapande hål som hackare lätt kan utnyttja. Faktum är att den ursprungliga versionen av Tomato-firmware inte har haft en stabil utgåva på nästan ett decennium, vilket talar för sig själv. I detta specifika fall är dock Tomatos öppen källkod och dess ålder inte de största problemen.

Ut ur rutan får användare tillgång till sina Tomato-routrar med antingen "root" eller "admin" som användarnamn. Standardlösenordet i båda fallen är "admin". Det här är inloggningsuppgifterna som Muhstik botnet använder för att kompromissa med alla Tomato-routrar som den hittar.

Olika tillverkare erbjuder olika grafiska användargränssnitt, så det finns ingen enda, steg-för-steg-guide för att ändra standardlösenordet på alla tomatbaserade routrar. De erbjuder dock alla en möjlighet att göra det, och Muhstik-operatörerna byter användare som inte har brytt sig om att använda den. Historia lär oss att de inte heller fastnar i sugrör.

Standarduppgifterna är lätt att få, och brute-tvinga dem innebär inte ett stort antal inloggningsförsök, vilket innebär att chansen att väcka misstankar är låg. Det är därför hackare älskar den här metoden för att infektera människors enheter.

Användare måste lära sig att prylarna som de ansluter till internet aldrig ska skyddas av användarnamn och lösenord som är tryckta på förpackningen eller på undersidan av enheten. Ju tidigare de gör det, desto bättre.