23 апреля
Image

ИнфоБесы в прямом эфире

Споры про ИИ-цензуру, падение зарплат и блокировки. Только факты, без хайпа. Эфир 23 апреля в 19:00.

Проверьте свой роутер прямо сейчас. Если у вас D-Link, TP-Link или ZTE — он может быть частью армии из тысяч устройств, атакующих серверы по всему миру 

leer en español

D-Link ZTE TP-Link Mirai ботнет Akamai
Проверьте свой роутер прямо сейчас. Если у вас D-Link, TP-Link или ZTE — он может быть частью армии из тысяч устройств, атакующих серверы по всему миру 
D-Link ZTE TP-Link Mirai ботнет Akamai

Рассказываем, как старая техника незаметно втягивает владельцев в кибервойну.

image

Маршрутизаторы, которые давно сняли с поддержки, внезапно оказались в центре новой волны атак. Злоумышленники начали активно использовать старую уязвимость, чтобы незаметно превращать домашние устройства в часть ботнета.

Проблема в маршрутизаторах D-Link DIR-823X получила идентификатор CVE-2025-29635 (оценка по CVSS: 8.8). Уязвимость позволяет выполнить произвольные команды на устройстве через специально сформированный POST-запрос. Достаточно отправить запрос к уязвимому адресу, и маршрутизатор выполнит команды злоумышленника.

Атаку обнаружила компания Akamai в марте 2026 года. Хотя уязвимость раскрыли ещё более года назад, только сейчас зафиксировали реальные попытки эксплуатации в сети. Активность заметили с помощью глобальной сети ловушек, имитирующих уязвимые устройства.

Атака выглядит довольно просто. Злоумышленники отправляют запрос, который заставляет устройство перейти в доступные для записи каталоги, затем загружают с внешнего сервера сценарий dlink.sh и запускают его. После того как сценарий запускают, на устройство устанавливается вредоносная программа на базе Mirai под названием tuxnokill. Программа поддерживает разные архитектуры, поэтому подходит для широкого круга устройств.

Функциональность вредоносной программы стандартна для Mirai. Заражённые устройства используют для мощных сетевых атак: серверы перегружают TCP- и UDP-трафиком, а также отправляют большое число HTTP-запросов.

На этом злоумышленники не остановились. Та же группа параллельно использует уязвимость CVE-2023-1389 в маршрутизаторах TP-Link и отдельную уязвимость удалённого выполнения команд в устройствах ZTE ZXV10 H108L. Во всех случаях схема одинаковая: взламывают устройство, загружают файл и устанавливают Mirai.

Проблема усугубляется тем, что уязвимые устройства официально сняли с поддержки в ноябре 2024 года. Производитель больше не выпускает обновления безопасности, даже когда появляются реальные атаки. Последние версии прошивки, скорее всего, так и остались с уязвимостью.

Владельцам таких маршрутизаторов стоит задуматься о замене оборудования. Пока устройство остаётся в сети, его могут использовать в атаках без ведома владельца. Минимальные меры защиты – отключить удалённое управление, сменить стандартный пароль администратора и следить за настройками устройства.