Το Botnet DDoS δείχνει ότι οι ανασφαλείς δρομολογητές είναι legion

Δεκάδες χιλιάδες δρομολογητές οικίας έχουν μολυνθεί από κακόβουλο λογισμικό και χρησιμοποιούνται από τους χάκερ για την εκτόξευση κατανεμημένων επιθέσεων άρνησης εξυπηρέτησης (DDoS).

Το botnet που βασίζεται στον δρομολογητή ανακαλύφθηκε από την εταιρεία εγγύησης Web Incapsula σειρά επιθέσεων DDoS εναντίον δεκάδων πελατών της, οι οποίες έχουν συνεχιστεί από τα τέλη Δεκεμβρίου

Οι ερευνητές της Incapsula εντοπίζουν την κακόβουλη κίνηση πίσω στους δρομολογητές της Ubiquiti Networks και διανέμονται από τους ISPs σε όλο τον κόσμο στους πελάτες τους. Οι συσκευές είχαν εγκατεστημένα σε αυτά προγράμματα DDoS - συνήθως περισσότερα από ένα, όπως ανέφεραν οι ερευνητές σε μια έκθεση που δημοσιεύθηκε την Τρίτη.

[Περαιτέρω ανάγνωση: Οι καλύτεροι ασύρματοι δρομολογητές] Εδώ είναι τρία βήματα για να εξασφαλίσετε τον δρομολογητή σας την ημέρα που το λαμβάνετε .

Οι ερευνητές δήλωσαν ότι δεν πιστεύουν ότι οι δρομολογητές έχουν χάσει την ευπάθεια του firmware τους, αλλά επειδή είχαν αναπτυχθεί με τρόπο ανασφαλές: με τα διαχειριστικά τους περιβάλλοντα εκτεθειμένα στο Διαδίκτυο μέσω SSH και HTTP χρησιμοποιώντας προεπιλεγμένα διαπιστευτήρια.

Στην πραγματικότητα, βρήκαν σενάρια κελύφους που τρέχουν στις συμβιβασμένες συσκευές που σχεδιάστηκαν για να σαρώσουν το Διαδίκτυο για άλλους δρομολογητές που θα μπορούσαν να έχουν πρόσβαση μέσω SSH με προεπιλεγμένα ονόματα χρήστη και κωδικούς πρόσβασης.

"Διευκόλυνση της διείσδυσης, οι ασφαλισμένοι δρομολογητές συγκεντρώνονται στις γειτονιές IP [Internet Protocol] συγκεκριμένων ISP που τους παρέχουν χύμα στους τελικούς χρήστες ", ανέφεραν οι ερευνητές. "Για τους δράστες, αυτό είναι σαν να γυρίσεις τα ψάρια σε ένα βαρέλι, πράγμα που κάνει κάθε μία από τις σαρώσεις πολύ πιο αποτελεσματική". Σε μια προηγούμενη έκδοση της έκθεσής της στους δημοσιογράφους, ο Encapsula είπε ότι πίστευε ότι η ομάδα hacktivist Anonymous ήταν μεταξύ αυτών κάνοντας χρήση των συμβιβασμένων δρομολογητών. Στη συνέχεια, δήλωσε ότι, λόγω αντικρουόμενων δεδομένων, δεν μπορούσε να είναι σίγουρη ότι η Anonymous είχε εμπλακεί στην πειρατεία.

Το πρόβλημα των ISPs που διανέμουν ανασφαλείς δρομολογητές στους πελάτες τους είναι ευρέως διαδεδομένο ότι οι χάκερ εκμεταλλεύτηκαν ξανά και ξανά

Εκτός από τις επιθέσεις DDoS, οι συμβιβασμένοι δρομολογητές χρησιμοποιούνται για την ανακατεύθυνση χρηστών σε κακόβουλους ιστότοπους, την ανάσχεση ηλεκτρονικών τραπεζικών συνόδων, την εισαγωγή αδίστακτων διαφημίσεων στην κυκλοφορία στο Web, την κλοπή πιστοποιήσεων για διάφορους λογαριασμούς στο διαδίκτυο και την εκτέλεση άλλων παράνομων δραστηριοτήτων. ο δημοσιογράφος Brian Krebs ανέφερε τον Ιανουάριο ότι μια ομάδα που ονομάζεται Lizard Squad είχε εγκαταστήσει μια υπηρεσία DDoS-for-hire χρησιμοποιώντας hacked home routers. Η Lizard Squad έχει αναλάβει την ευθύνη για επιθέσεις DDoS έναντι του PlayStation Network της Sony, της υπηρεσίας Xbox Live της Microsoft και άλλων ιστοσελίδων υψηλού προφίλ.

Το botnet που αποτελείται από συσκευές Ubiquiti δεν είναι πιθανότατα αυτό που χρησιμοποίησε τον Ιανουάριο Lizard Squad για την υπηρεσία DDoS, επειδή τροφοδοτούνται από διαφορετικά προγράμματα κακόβουλου λογισμικού, δήλωσαν οι ερευνητές της Incapsula. Εντούτοις, ημέρες μετά την Incapsula παρατηρήθηκε μια αύξηση στις επιθέσεις από το botnet Ubiquiti τον Απρίλιο, Lizard Squad υπαινίχθηκε στο Twitter ότι έχει ένα πιο ισχυρό botnet.

Είναι δυνατόν, και ακόμη και πιθανό, ότι οι hacked δρομολογητές Ubiquiti χρησιμοποιούνται από πολλαπλές ομάδες. Αυτό υποστηρίζεται από την παρουσία πολλαπλών προγραμμάτων κακόβουλου λογισμικού DDoS σε αυτά.

Το Encapsula ανίχνευσε 40.269 διαφορετικές διευθύνσεις IP από 1.600 ISP σε 109 χώρες που συσχετίζονται με το botnet. Οι μεγαλύτερες συγκεντρώσεις μολυσμένων συσκευών βρίσκονται στην Ταϊλάνδη (64%), τη Βραζιλία (21%), τις ΗΠΑ (4%) και την Ινδία (3%).

η πλειοψηφία τους στην Κίνα και τις ΗΠΑ

Οι χρήστες θα πρέπει να βεβαιωθούν ότι οι δρομολογητές τους δεν εκθέτουν διεπαφές διαχείρισης μέσω HTTP ή SSH στο Διαδίκτυο. Ένα εργαλείο στο yougetsignal.com μπορεί να χρησιμοποιηθεί για την ανίχνευση μιας IP διεύθυνσης δρομολογητή για ανοιχτές θύρες.

Οι χρήστες θα πρέπει επίσης να βεβαιωθούν ότι αλλάζουν τα προεπιλεγμένα διαπιστευτήρια σύνδεσης για τους δρομολογητές τους, σύμφωνα με τους ερευνητές του Incapsula. Το Ubiquiti παρέχει πληροφορίες για το πώς να το κάνετε αυτό στους οδηγούς χρήσης για τις συσκευές airOS

Διόρθωση: Η εταιρεία ασφάλειας που παρείχε τις πληροφορίες για την αρχική ιστορία "Το ανώνυμο botnet DDoS δείχνει ότι οι ανασφαλείς δρομολογητές είναι λεγεώνες" λέει τώρα ότι ήταν λανθασμένο και ότι ο Anonymous μπορεί να μην έχει συμμετάσχει καθόλου στο botnet. Η ιστορία έχει ξαναγραφτεί για να το φανταστεί.