Обычно такая угроза актуальна для публичных персон, крупных компаний — в общем, в тех случаях, когда вы владеете реально ценной информацией. Или не только: кажется, киберпреступники среднего уровня тоже начинают пробовать играть в кибершпионаж. Исследователи из китайской команды 360 Netlab смогли идентифицировать как минимум 7500 роутеров Mikrotik, которые были взломаны и передавали проходящий через них трафик на серверы киберпреступников (
Специалисты из 360 Netlab провели целое
Из 1,2 миллиона роутеров 370 тысяч, или чуть больше 30 процентов, имеют уязвимость CVE-2018-14847. Эта уязвимость была
Карта распределения уязвимых устройств по планете выглядит так. Россия — на втором месте после Бразилии с 40 тысячами необновленных роутеров. Как задействуют уязвимость атакующие? Можно перенаправлять трафик пользователей на страницу с сообщением об ошибке, генерируемую самим роутером, а на эту страницу внедрить майнер валюты CoinHive. Данный метод монетизации уже известен (смотрите дайджест
И в любом случае такая атака будет быстро обнаружена, так как у пользователей (речь идет о роутерах, расчитанных на крупные организации и небольших провайдеров) отвалится Интернет. Прокси-сервер на роутере можно использовать и более элегантно: например, переложить на зараженное устройство задачу дальнейшего сканирования сети и атаки на другие роутеры. Всего исследователи нашли 239 тысяч роутеров, на которых активирован прокси Socks4, причем сделано это, по словам китайских экспертов, явно с вредоносными намерениями, «без уважения». Конечно, этот вариант не единственный, но для чего еще используется армия роутеров с прокси-сервером, доступ к которому возможен только из определенной (видимо, контролируемой киберпреступниками) подсети, точно не известно.
Но самая интересная находка исследования вот какая. Mikrotik RouterOS позволяет перенаправлять сетевые пакеты, обрабатываемые роутером, на заданный адрес. Настройки такого вывода трафика могут выглядеть так, как показано на скриншоте выше. Так вот, исследователи из 360 Netlab идентифицировали 7,5 тысяч роутеров, которые неизвестно кому отдают весь проходящий через них трафик. Окей, почти весь: обычно отслеживаются коммуникации по портам 20, 21, 25, 110 и 143, соответственно это протоколы FTP и почтовые SMTP и POP3/IMAP. Также в некоторых случаях отслеживались порты 161 и 162, ассоциируемые с протоколом SNMP, но зачем именно его используют — неясно. Список портов актуален для наиболее часто встречаемых на зараженных роутерах настроек. На некоторых отслеживали и другие порты, например 80 (то есть весь нешифрованный веб-трафик) и 8080.
И вот в списке роутеров, у которых крадут трафик, Россия стоит на первом месте с 1628 зараженными роутерами, на втором и третьем — Иран и Бразилия. Зачем перенаправляется трафик, что с ним дальше происходит — остается только гадать. Предположу, что цель перехвата — как поиск новых жертв для включения в чей-то ботнет, так и что-то типа научных исследований. Вот многие сейчас озабочены тем, сколько данных о нас собирают сервис-провайдеры в Интернете, чтобы «более лучше» нам рекламировать товары. Тот факт, что про нас собирает информацию криминал, чтобы потом лучше нас атаковать, — это опаснее.
Что делать? Понятно, что надо делать прямо сейчас:
В России роутеры Mikrotik часто используются в малом и среднем бизнесе, где они настраиваются либо приходящим айтишником, либо кем-то из владельцев-сотрудников, а потом про них, как правило, забывают: то одно, то другое, работает — и ладно. Старая прошивка — косвенный показатель стабильной работы устройства. Но получается, что какой бы у вас ни был роутер, его надо обновлять, надо конфигурировать его с максимально безопасными настройками, отключать внешние интерфейсы управления, если они не нужны. Скорее всего, с привлечением внешнего специалиста. Безопасность бесплатной не бывает.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. И кстати, это трехсотый пост в блоге «Лаборатории» на Хабре за семь лет его существования. С чем мы и вас, и нас поздравляем.