Увага: ФБР попереджає про критичне зараження Маршрутизатор TP-Link та D-Link – Список вразливих моделей
Безпека домашніх та корпоративних мереж зазнає чергового серйозного удару, оскільки ФБРу співпраці з міжнародними правоохоронними органами опублікував термінове попередження про широкомасштабну кібератак. У центрі знаходяться сотні тисяч маршрутизаторів SOHO (для малого офісу/домашнього офісу), що належать переважно компаніям. TP-Link і D-Link, які були заражені складним шкідливим програмним забезпеченням AVrecon.
Операція, яка призвела до демонтажу сервісу ШкарпеткиЕскорт, розкрила, як хакери перетворювали нічого не підозрюючі маршрутизатори на «піратські» проксі-сервери, сприяючи злочинній діяльності по всьому світу.
Що таке AVrecon і як працює ботнет?
AVrecon — це не просто шкідливе програмне забезпечення. Це програмне забезпечення на базі Linux. Троян віддаленого доступу (RAT) який орієнтований на пристрої з архітектурою ARM. Згідно з офіційним звітом IC3 (ФБР) ФЛЕШ, зловмисники використовують відомі вразливості (N днів) та діри в безпеці в старих моделях маршрутизаторів, які більше не отримують оновлень.
Після зараження пристрою:
-
Це частина гігантського Ботнет (мережа заражених пристроїв).
-
Його підключення продається через сервіс ШкарпеткиЕскорт як «житловий представник».
-
Використовується злочинцями для шахрайство з рекламою, розпилення паролів та обхід географічних обмежень.
Тривожить те, що зараження часто залишається непоміченим користувачем, оскільки шкідливе програмне забезпечення розроблено для тихої роботи у фоновому режимі, споживаючи мінімальні ресурси.
Список моделей: Він ваш маршрутизатор у списку?
Хоча ФБР повідомляє, що понад 1.200 моделей різних виробників (Cisco, Netgear, Zyxel, MikroTik, Hikvision) постраждали, більшість заражень виявлено на пристроях TP-Link та D-Link.
Найбільш вразливі моделі D-Link
Сам D-Link видав оголошення безпеки підтверджуючи, що основними цілями є такі серії, підтримка яких завершена (End-of-Life):
-
DIR-818L / DIR-818LW
-
DIR-850L
-
DIR-860L
-
DIR-868L
-
DIR-880L
-
DIR-890L
TP-Link також у центрі уваги
Водночас, нещодавні дослідження з Malwarebytes та Forescout показують, що старіші, але популярні моделі TP-Link мають критичні вразливості безпеки:
-
Лучник С7 (включаючи версії провайдерів, такі як «Wifibooster Ziggo C7»)
-
TL-WR841N / TL-WR841ND
-
ER605v2 (через вразливості в конфігурації VPN)
Чому хакери атакують старі маршрутизатори?
Відповідь криється в т.зв. «Застаріла дірка в безпеці»Більшість користувачів ніколи не оновлюють прошивку свого маршрутизатора. Коли пристрій класифікується як Кінець терміну служби (EOL), виробник припиняє випускати патчі безпеки. Це робить ці пристрої «відкритими дверима» для хакерів, які використовують автоматизовані скрипти для виявлення та зараження тисяч маршрутизаторів за лічені хвилини.
Як захистити себе: посібник з виживання
Якщо у вас одна з перелічених вище моделей або якщо вашому пристрою більше 5 років, наші експерти СНД а ФБР пропонує наступне:
-
Негайна заміна: Якщо ваш роутер EOL (кінець терміну служби), єдиним реальним захистом є придбання сучасної моделі, яка підтримує автоматичні оновлення безпеки.
-
Перезапуск та скидання: Простий перезапуск (вимкнення та вимкнення живлення) може зупинити роботу деяких нестійких штамів шкідливого програмного забезпечення, але скидання до заводських налаштувань необхідне, якщо ви підозрюєте зараження.
-
Вимкнення віддаленого керування: Переконайтеся, що порти керування (HTTP/HTTPS) недоступні з глобальної мережі (Інтернету).
-
Зміна паролів за замовчуванням: Ніколи не використовуйте паролі, зазначені на нижній частині пристрою. Використовуйте надійні, унікальні паролі для панелі адміністратора та Wi-Fi.
Висновок
Справа AVrecon нагадує нам, що роутер — це не просто пристрій, який забезпечує нам інтернет, а перша лінія захисту в нашому цифровому світі. Нехтування оновленням обладнання може перетворити ваше домашнє з’єднання на інструмент для міжнародної кіберзлочинності.
