В интернете идёт война за домашние маршрутизаторы

Об этом говориться в пресс-релизе по итогам исследования Worm War: The Botnet Battle for IoT Territory, подготовленного компанией Trend Micro Incorporated. Авторы доклада призывают пользователей принять меры, чтобы принадлежащие им устройства не были вовлечены в преступную деятельность.

В последнее время наблюдается резкий всплеск количества атак, направленных на маршрутизаторы. Особенно это было заметно в четвёртом квартале 2019 года. Новое исследование показывает, что рост числа злоупотреблений, связанных с этими устройствами, будет продолжаться, так как злоумышленники могут легко окупить подобные заражения в ходе дальнейших атаках с использованием захваченных маршрутизаторов.

«Поскольку огромное количество людей сейчас использует домашние сети для работы и учёбы, стало особенно важным отслеживать, что происходит с маршрутизатором, — утверждает Джон Клэй (John Clay), руководитель направления международных коммуникаций в сфере киберугроз в Trend Micro. — Киберпреступники сильно нарастили интенсивность атак, зная, что в подавляющем большинстве домашних маршрутизаторов используются установленные по умолчанию логин и пароль. Захват контроля над своим роутером домашние пользователи могут ощутить как снижение пропускной способности сети. А вот организации, на которые нацелены атаки с использованием заражённых роутеров, могут столкнуться с тем, что ботнеты отправят в офлайн их сайты — мы уже наблюдали это при предыдущих громких атаках».

Исследование Trend Micro показало, что в октябре 2019 года начался рост числа попыток взлома маршрутизаторов методом подбора пароля. В этом случае злоумышленники используют программное обеспечение, которое автоматически перебирает распространённые комбинации паролей. Количество подобных попыток выросло более чем в десять раз — с 23 миллионов в сентябре до почти 249 миллионов в декабре 2019 года. В марте 2020 года Trend Micro зарегистрировала почти 194 миллиона входов в систему методом перебора.

Ещё один показатель увеличения масштабов этой угрозы — попытки устройств начать telnet-сеансы с другими IoT-устройствами. Поскольку протокол telnet не подразумевает шифрования данных, злоумышленники или их ботнеты предпочитают использовать его для сбора учётных данных. Пиковый показатель был зарегистрирован в середине марта 2020 года: около 16 тысяч устройств пытались открыть сеансы telnet с другими IoT-устройствами в течение одной недели.

Эта тенденция вызывает беспокойство по нескольким причинам. Киберпреступники конкурируют друг с другом с целью скомпрометировать как можно больше маршрутизаторов, которые можно включить в ботнеты. Затем эти ботнеты продаются на подпольных сайтах либо как инструмент для осуществления DDOS-атак, либо как средство анонимизации других противозаконных действий, таких как накрутки кликов, кража данных и захват учётных записей.

Конкуренция настолько сурова, что преступники удаляют любое вредоносное ПО, обнаруженное на подвергшемся нападению маршрутизаторе и установленное конкурентом, чтобы получить исключительный контроль над устройством.

Домашний пользователь, чей маршрутизатор был скомпрометирован, в первую очередь ощутит проблемы с его производительностью. Если впоследствии устройство будет вовлечено в осуществление атак, его IP-адрес может попасть в чёрные списки, что приведёт пользователя к отключению его от ключевых частей интернета и корпоративных сетей.

Как объясняется в отчёте, существует процветающий чёрный рынок вредоносного ПО для ботнетов и ботнетов в аренду. Хотя можно взломать и использовать в составе ботнета любое устройство IoT, маршрутизаторы особенно интересны злоумышленникам, поскольку они легко доступны и напрямую подключены к интернету.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!