Исследователи обнаружили, что недавно обнаруженная бот-сеть AryStinger незаметно захватила тысячи маршрутизаторов D-Link, срок эксплуатации которых истек, а также некоторые устройства сетевого хранения данных (NAS), превратив их в распределенную сеть для сканирования и прокси-серверов, которую злоумышленники могут использовать для сокрытия своей деятельности и проведения атак на другие цели.
Попадание ваших устройств под контроль ботнета — это проблема не только для тех, кто стал мишенью атаки. Это также может поставить под угрозу вашу конфиденциальность и безопасность.
Ботнет AryStinger в основном состоит из взломанных маршрутизаторов D‑Link DIR‑850L и DIR‑818LW. Несмотря на то что срок службы этих устройств давно истек, они по-прежнему широко используются в домашних условиях и небольших офисах, что делает их привлекательной целью для операторов ботнетов.
Злоумышленники воспользовались уязвимостями, о которых стало известно 13 лет назад, чтобы взломать большое количество маршрутизаторов. По словам исследователей:
«По всему миру уже заражено не менее 4 300 маршрутизаторов, и их число продолжает расти».
Нацеливаясь на маршрутизаторы, которые больше не поддерживаются производителем, злоумышленники получают доступ к устройствам, которые никогда не будут получать обновления безопасности, но при этом остаются подключенными к Интернету.
AryStinger превращает каждое заражённое устройство в то, что исследователи называют «Executor»: удалённо управляемый узел, способный сканировать сети, выступать в качестве прокси-сервера, создавать туннели и выполнять команды от имени злоумышленника.
Контроллер ботнета разбивает крупные разведывательные задачи на множество более мелких и распределяет их между этими «исполнителями», тем самым превращая парк бытовых маршрутизаторов в крупномасштабную платформу для сканирования.
Основная цель ботнета — проведение разведки в широких масштабах. Контроллер может:
- Параллельно распределять задания сканирования (по диапазонам IP-адресов, открытым портам, записям DNS) между многими исполнителями.
- Используйте эти результаты для составления схем сетей, выявления новых уязвимых сервисов и подготовки дальнейших атак («footprinting»).
Для владельцев заражённых устройств ещё большую тревогу вызывает способность AryStinger изменять настройки DNS. Это позволяет злоумышленникам:
- Перенаправлять трафик браузеров жертв на фишинговые страницы или сайты, на которых размещено вредоносное ПО.
- Незаметно отслеживать и, возможно, перехватывать весь входящий и исходящий сетевой трафик, проходящий через маршрутизатор или сетевое хранилище (NAS).
Это может подвергнуть риску даже те устройства, которые в иных случаях надежно защищены. Мобильные телефоны, планшеты и ноутбуки, подключенные к взломанному маршрутизатору, также могут подвергнуться перенаправлению трафика.
Как определить, затронуты ли вы этой проблемой
Для владельцев подверженных уязвимости маршрутизаторов или сетевых хранилищ (NAS) непосредственные признаки могут быть едва заметными или вовсе отсутствовать. Возможными признаками могут быть:
- Немного более медленная скорость подключения
- Периодические необъяснимые сбои DNS или перенаправления
- Всплески исходящего трафика в нестандартное время
Однако связанные с этим риски достаточно серьезны:
- Privacy:Злоумышленники могут просматривать или перенаправлять ваш трафик, что потенциально позволяет им перехватить имена пользователей, пароли, сессионные файлы cookie или другие конфиденциальные данные.
- Ответственность и репутация:ваш IP-адрес может быть использован для мошенничества, атак методом «credential stuffing», преследования или другой преступной деятельности, что может привлечь внимание поставщиков услуг или правоохранительных органов — подобные случаи уже наблюдались в других прокси-ботнетах.
- Проникновение в вашу сеть:особенно на взломанных устройствах NAS злоумышленники могут составить карту внутренних сетей и искать дополнительные системы для атаки.
Что делать
Это уже не первый случай, когда злоумышленники создают ботнет на основе заброшенного сетевого оборудования. К сожалению, самое эффективное решение одновременно является и наименее популярным: замена маршрутизаторов и сетевых хранилищ (NAS), срок эксплуатации которых истек.
Если это невозможно сделать сразу, есть несколько мер, которые вы можете принять, чтобы затруднить взлом вашего устройства:
- Установите последнююдоступную версию прошивкидля вашего устройства, даже если оно уже устарело, и ознакомьтесь со всеми рекомендациями производителя по безопасности, касающимися известных уязвимостей.
- Замените пароль администратора по умолчаниюна уникальный надежный пароль или парольную фразу; никогда не используйте пароли, которые уже использовались для других учетных записей.
- Отключите удаленное управлениечерез Интернет (WAN). Доступ к интерфейсу администратора должен осуществляться только из внутренней сети вашего дома или офиса.
- Используйтешифрование беспроводной сети по стандарту WPA2 или WPA3и надежный пароль Wi-Fi, чтобы снизить вероятность злоупотребления со стороны локальных пользователей.
- Если ваш маршрутизатор поддерживает эту функцию,отключите неиспользуемые службы, такие как UPnP на стороне WAN или устаревшие протоколы удаленного доступа.
- Запустить сканирование на наличие вредоносных программ на компьютерах и других устройствах, подключенных к маршрутизатору, чтобы проверить, не были ли некоторые из них заражены отдельно во время подделки трафика.
Даже если вы выполните все эти рекомендации, маршрутизатор, срок службы которого подходит к концу, следует считать ненадежным. Запланируйте его замену как можно скорее.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
