Błędy, Aktualności

Tysiące routerów D-Link znajduje się pod kontrolą botnetu AryStinger

autor: Pieter Arntz | 22 czerwca 2026 r.
Sieć D-Link
Dodaj jako preferowane źródło w Google

Naukowcy odkryli, że niedawno wykryta sieć botnetowa AryStinger po cichu przejęła kontrolę nad tysiącami routerów marki D-Link, których okres eksploatacji dobiegł końca, oraz nad niektórymi urządzeniami sieciowej pamięci masowej (NAS), przekształcając je w rozproszoną sieć służącą do skanowania i pełnienia funkcji serwerów proxy, którą atakujący mogą wykorzystywać do ukrywania swojej działalności oraz przeprowadzania ataków na inne cele. 

Sytuacja, w której Twoje urządzenia znajdują się pod kontrolą botnetu, stanowi problem nie tylko dla osób, które padły ofiarą ataku. Może to również stanowić zagrożenie dla Twojej prywatności i bezpieczeństwa. 

Botnet AryStinger opiera się głównie na zainfekowanych routerach D‑Link DIR‑850L i DIR‑818LW. Chociaż urządzenia te już dawno wycofano z produkcji, nadal są szeroko stosowane w gospodarstwach domowych i małych biurach, co czyni je atrakcyjnymi celami dla operatorów botnetów.

Hakerzy wykorzystali luki w zabezpieczeniach ujawnione 13 lat temu, aby przejąć kontrolę nad dużą liczbą routerów. Według naukowców:

„Na całym świecie zainfekowano już co najmniej 4 300 routerów, a liczba ta wciąż rośnie”.

Atakując routery, które nie są już obsługiwane przez producenta, hakerzy uzyskują dostęp do urządzeń, które nigdy nie otrzymają poprawek zabezpieczeń, ale pozostają podłączone do Internetu.

AryStinger przekształca każde zainfekowane urządzenie w coś, co naukowcy nazywają „Executor” – zdalnie sterowany węzeł, który może skanować sieci, pełnić rolę serwera proxy, tworzyć tunele oraz wykonywać polecenia w imieniu atakującego.

Kontroler botnetu dzieli duże zadania rozpoznawcze na wiele mniejszych i rozdziela je między te urządzenia wykonujące, skutecznie przekształcając flotę routerów konsumenckich w platformę skanującą na dużą skalę.

Głównym celem botnetu jest prowadzenie rozpoznania na szeroką skalę. Kontroler może:

  • Przekazuj zadania skanowania (dotyczące zakresów adresów IP, otwartych portów, rekordów DNS) równolegle do wielu modułów wykonawczych.
  • Wykorzystaj te wyniki do mapowania sieci, identyfikacji nowych podatnych na ataki usług oraz przygotowania kolejnych ataków („footprinting”).

Dla właścicieli zainfekowanych urządzeń bardziej niepokojącą funkcją jest możliwość manipulowania ustawieniami DNS przez AryStinger. Pozwala to atakującym na:

  • Przekierowywanie ruchu przeglądarkowego ofiar na strony phishingowe lub witryny zawierające złośliwe oprogramowanie.
  • W sposób niewidoczny monitorować i ewentualnie przechwytywać cały ruch sieciowy przychodzący i wychodzący przechodzący przez router lub serwer NAS.

Może to narazić na zagrożenie nawet dobrze zabezpieczone urządzenia. Również telefony komórkowe, tablety i laptopy podłączone do zainfekowanego routera mogą zostać przekierowane.

Jak sprawdzić, czy problem dotyczy Ciebie

W przypadku właścicieli routerów lub urządzeń NAS, których dotyczy ta luka, bezpośrednie oznaki mogą być nieznaczne lub w ogóle nie występować. Możliwe oznaki to:

  • Nieco wolniejsze połączenie
  • Sporadyczne, niewyjaśnione awarie lub przekierowania DNS
  • Skoki natężenia ruchu wychodzącego o nietypowych porach

Jednak związane z tym zagrożenia są wystarczająco poważne:

  • Privacy:Osoby atakujące mogą mieć możliwość wglądu w ruch sieciowy użytkownika lub jego przekierowania, co może skutkować przechwyceniem nazw użytkowników, haseł, plików cookie sesji lub innych poufnych danych.
  • Odpowiedzialność i reputacja:Twój adres IP może zostać wykorzystany do oszustw, ataków typu „credential stuffing”, nękania lub innych działań przestępczych, co może zwrócić uwagę dostawców usług lub organów ścigania — sytuacja ta miała już miejsce w przypadku innych botnetów proxy.
  • Przeniesienie ataku do sieci:Zwłaszcza w przypadku zainfekowanych urządzeń NAS atakujący mogą być w stanie sporządzić mapę sieci wewnętrznych i wyszukiwać kolejne systemy, które mogą stać się celem ataku.

Co robić

To nie pierwszy raz, kiedy cyberprzestępcy stworzyli botnet z porzuconego sprzętu sieciowego. Niestety, najskuteczniejsze rozwiązanie jest jednocześnie najmniej popularne: wymiana routerów i urządzeń NAS, które zakończyły już swój cykl życia.

Jeśli nie jest to możliwe od razu, możesz podjąć pewne kroki, aby utrudnić atak na Twoje urządzenie:

  • Zainstaluj najnowsządostępną wersję oprogramowania sprzętowegodla swojego urządzenia, nawet jeśli jest ono starszego typu, i zapoznaj się z komunikatami producenta dotyczącymi znanych luk w zabezpieczeniach.
  • Zmień domyślne hasło administratorana unikalne, silne hasło lub frazę hasła; nigdy nie używaj haseł z innych kont.
  • Wyłącz zdalne zarządzaniez Internetu (WAN). Korzystaj z interfejsu administracyjnego wyłącznie z sieci domowej lub biurowej.
  • Aby zmniejszyć ryzyko lokalnych nadużyć, należy stosowaćszyfrowanie sieci bezprzewodowej WPA2 lub WPA3oraz silne hasło do sieci Wi-Fi.
  • Jeśli router to obsługuje,wyłącz nieużywane usługi, takie jak UPnP po stronie sieci WAN lub starsze protokoły zdalnego dostępu.
  • Uruchom skanowanie antywirusowe na komputerach i innych urządzeniach podłączonych do routera, aby sprawdzić, czy któreś z nich zostało oddzielnie zainfekowane podczas manipulacji ruchem sieciowym.

Nawet jeśli zastosujesz się do wszystkich tych zaleceń, router, którego okres użytkowania dobiega końca, należy uznać za niegodny zaufania. Zaplanuj jego wymianę tak szybko, jak to możliwe.

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Oszustwa
Ostrzeżenie dotyczące poczty głosowej

Oszustwa związane z dostarczaniem dokumentów: czym są i jaki jest ich cel?

Czerwiec 22, 2026

Wiadomość głosowa, która wydawała się pochodzić z oficjalnego źródła, okazała się oszustwem. Dowiedz się, na czym polegają oszustwa związane z dostarczaniem dokumentów i co zrobić, jeśli otrzymasz taką wiadomość.

Aktualności
tydzień w bezpieczeństwie

Tydzień w branży bezpieczeństwa (od 15 czerwca do 21 czerwca)

Czerwiec 22, 2026

Lista tematów, które omówiliśmy w tygodniu od 15 do 21 czerwca 2026 roku

Aktualności
Zdalne zatrzymanie SocGolish

W ramach akcji przeciwko SocGholish oczyszczono prawie 15 000 zainfekowanych stron internetowych

Czerwiec 19, 2026

W ramach globalnej operacji wymierzonej w sieć złośliwego oprogramowania stojącą za oszustwami związanymi z fałszywymi aktualizacjami przeglądarek oczyszczono tysiące popularnych stron internetowych.

Dodaj jako preferowane źródło w Google

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa