В последнее время наблюдается резкий всплеск количества атак, направленных на маршрутизаторы. Особенно это было заметно в четвёртом квартале 2019 года. Новое исследование показывает, что рост числа злоупотреблений, связанных с этими устройствами, будет продолжаться, так как злоумышленники могут легко окупить подобные заражения в ходе дальнейших атаках с использованием захваченных маршрутизаторов.
«Поскольку огромное количество людей сейчас использует домашние сети для работы и учёбы, стало особенно важным отслеживать, что происходит с маршрутизатором, — утверждает Джон Клэй (John Clay), руководитель направления международных коммуникаций в сфере киберугроз в Trend Micro. — Киберпреступники сильно нарастили интенсивность атак, зная, что в подавляющем большинстве домашних маршрутизаторов используются установленные по умолчанию логин и пароль. Захват контроля над своим роутером домашние пользователи могут ощутить как снижение пропускной способности сети. А вот организации, на которые нацелены атаки с использованием заражённых роутеров, могут столкнуться с тем, что ботнеты отправят в офлайн их сайты — мы уже наблюдали это при предыдущих громких атаках».
Исследование Trend Micro показало, что в октябре 2019 года начался рост числа попыток взлома маршрутизаторов методом подбора пароля. В этом случае злоумышленники используют программное обеспечение, которое автоматически перебирает распространённые комбинации паролей. Количество подобных попыток выросло более чем в десять раз — с 23 миллионов в сентябре до почти 249 миллионов в декабре 2019 года. В марте 2020 года Trend Micro зарегистрировала почти 194 миллиона входов в систему методом перебора.
Ещё один показатель увеличения масштабов этой угрозы — попытки устройств начать telnet-сеансы с другими IoT-устройствами. Поскольку протокол telnet не подразумевает шифрования данных, злоумышленники или их ботнеты предпочитают использовать его для сбора учётных данных. Пиковый показатель был зарегистрирован в середине марта 2020 года: около 16 тысяч устройств пытались открыть сеансы telnet с другими IoT-устройствами в течение одной недели.
Эта тенденция вызывает беспокойство по нескольким причинам. Киберпреступники конкурируют друг с другом с целью скомпрометировать как можно больше маршрутизаторов, которые можно включить в ботнеты. Затем эти ботнеты продаются на подпольных сайтах либо как инструмент для осуществления DDOS-атак, либо как средство анонимизации других противозаконных действий, таких как накрутки кликов, кража данных и захват учётных записей.
Конкуренция настолько сурова, что преступники удаляют любое вредоносное ПО, обнаруженное на подвергшемся нападению маршрутизаторе и установленное конкурентом, чтобы получить исключительный контроль над устройством.
Домашний пользователь, чей маршрутизатор был скомпрометирован, в первую очередь ощутит проблемы с его производительностью. Если впоследствии устройство будет вовлечено в осуществление атак, его IP-адрес может попасть в чёрные списки, что приведёт пользователя к отключению его от ключевых частей интернета и корпоративных сетей.
Как объясняется в отчёте, существует процветающий чёрный рынок вредоносного ПО для ботнетов и ботнетов в аренду. Хотя можно взломать и использовать в составе ботнета любое устройство IoT, маршрутизаторы особенно интересны злоумышленникам, поскольку они легко доступны и напрямую подключены к интернету.
Trend Micro опубликовала рекомендации для домашних пользователей: