Twój źle skonfigurowany router może być częścią botnetu

Coraz częściej słyszymy o najróżniejszych atakach na sprzęt sieciowy wykorzystujących np. dziurawe oprogramowanie routerów. Wiele z takich urządzeń po przejęciu przez napastników działa w ramach botnetów, są one wykorzystywane do przeprowadzania ataków DDoS, a także polowania na kolejne ofiary.

Ciekawe informacje dotyczące tego problemu przedstawiła na swoim oficjalnym blogu firma Incapsula. Podobnie do nieco bardziej znanego CloudFlare zajmuje się ona ochroną witryn przed atakami DDoS, a także udostępnianiem rozproszonego systemu dostarczania treści (CDN), jaki ma przyśpieszyć ładowanie stron. Pierwsze problemy zostały zauważone już w grudniu ubiegłego roku. Monitoring kilku stron objętych ochroną Incapsuli wykazał, że ataki z użyciem przejętych routerów przybierają na sile. Stają się coraz poważniejszym zagrożeniem i pokazują, że w wielu przypadkach zabezpieczenia sprzętu stosowanego w domach i małych firmach są niewystarczające.

Specjalistom udało się ustalić, że ofiarami ataków DDoS było wiele domen. Brały w nich udział głównie routery tworzone przez firmę Ubiquiti. Początkowo sądzono, że jest to efekt luki bezpieczeństwa w oprogramowaniu, który pozwolił na przejęcie kontroli nad urządzeniami. Okazało się jednak, że wszystkie z nich pozwalały na zdalny dostęp za pośrednictwem HTTP i SSH na standardowych portach, korzystały również z domyślnych danych logowania. Efekt: przejęcie kontroli nad takim urządzeniem nie stanowi problemu, atakujący postanowili wstrzyknąć złośliwe oprogramowanie w postaci np. trojana MrBlack. Łącznie zarejestrowano ruch z ponad 40 tysięcy adresów IP z całego świata obsługiwanych przez 1600 różnych dostawców. Incapsula wykryła także 60 adresów prowadzących do systemów sterowania tym botnetem.

Większość z zainfekowanych urządzeń znajduje się w Brazylii i Tajlandii (ponad 85%), centra sterujące znajdują się natomiast głównie w Chinach (aż 73%) i Stanach Zjednoczonych. Przejęcie routera nie musi oznaczać, że atakujący od razu wykorzystają go do zdobycia danych z sieci użytkownika. Działając w ramach botnetu, szkodliwe oprogramowanie może uśpione oczekiwać na sygnał od napastnika i w odpowiednim momencie włączyć się do znacznie większego ataku DDoS. Ofiary są także wykorzystywane do „polowania” na kolejne źle skonfigurowane urządzenia. Całość przypomina botnet stworzony przez grupę Lizard Squad, która również wykorzystywała źle zabezpieczone urządzenia do dalszych ataków, blokowania stron i różnego rodzaju usług internetowych.

Jak możemy bronić się przed takimi włamaniami? O ile to możliwe, powinniśmy wyłączyć zdalny dostęp do niektórych z usług np. HTTP/HTTPS (porty odpowiednio 80 i 443), Telnetu (port 23), a także SSH (port 22). Dostęp do panelu administracyjnego i terminalu powinien być dostępny jedynie z poziomu sieci lokalnej. Koniecznie zmieńmy też domyślne dane logowania, bo domyślnie kombinacje admin/admin lub admin/password nie są dla nikogo żadną tajemnicą. W przypadku połączenia bezprzewodowego stosujmy WPA2 z szyfrowaniem AES, stosowanie zarówno WEP, jak i TKIP nie są już bezpieczne i narażają na podsłuch przez osobę trzecią. Jeżeli producent sprzętu publikuje na swoich stronach nową wersję firmware, warto ją wgrać, możliwe bowiem, że łata luki bezpieczeństwa.