Роутеры под угрозой: почему следует внимательнее относиться к маршрутизаторам

Поводом для написания данной заметки стала новость о новом черве, который целенаправленно атакует роутеры марки Linksys определённых моделей. Червь The Moon ([1], [2]) эксплуатирует уязвимость в прошивках этих роутеров, позволяющую

Поводом для написания данной заметки стала новость о новом черве, который целенаправленно атакует роутеры марки Linksys определённых моделей. Червь The Moon ([1], [2]) эксплуатирует уязвимость в прошивках этих роутеров, позволяющую обойти надлежащую авторизацию, и пытается распространять себя дальше по адресам, извлечённым из компьютеров, подключённых к устройству. Существует ли у него какой бы то ни было вредоносный (действительно вредоносный) функционал, пока остаётся неизвестным, но сам факт того, что целью атак стали роутеры, заставляет задуматься.

Дело в том, что роутеры атакуют, как говорится, редко, но метко, с серьёзными последствиями. Эффективность атак,  если они происходят, как правило, обусловлена безалаберным отношением к делу со стороны самих пользователей беспроводных маршрутизаторов: слабые или даже фабричные пароли (а они известны для всех моделей, даже перебирать не нужно), настройки по умолчанию, это самые очевидные причины. Сложные пароли, отличные от заводских или от «admin/1234», это азбука безопасности, но и её часто игнорируют.

Как уже сказано, The Moon — не первый случай, когда роутеры оказались под угрозой. И, в общем-то, даже не самый серьёзный, по крайней мере, пока.

Куда серьёзнее был эпизод со злополучным троянцем DNSChanger (существовавшим и под Windows, и под Mac OS X), который учинил масштабную эпидемию несколько лет назад: его жертвами стали порядка 4 млн человек, то есть их компьютеры и роутеры. DNSChanger появился где-то в 2007 году, а его вариант, целивший в роутеры, был замечен в 2008-м.

Главная опасность для бизнеса состоит в том, что, заразив роутер, удачливые злоумышленники могут незаметно и довольно долго перехватывать весь трафик, проходящий через него, а это отличная «позиция» для шпионажа.

Попадая на компьютеры, этот троянец пытался, судя по итоговому количеству заражённых, поменять настройки роутера, и в первую очередь DNS, так чтобы перенаправлять весь трафик через серверы, принадлежавшие злоумышленникам. В результате пользователям отображалась совершенно не прошеная реклама, часто относившаяся к категории 18+, и избавиться от неё было крайне сложно, особенно если не знать, что зараза сидит не на компьютере, как обычно, а в роутере.

DNSChanger, к слову, создала эстонская коммерческая компания Rove Digital, чьих работников — кибер-романтиков с большой дороги — в конце 2011 года повязали эстонские правоохранители, в то время как ФБР перехватило контроль над контрольными серверами DNSChanger и вынужденно поддерживало их работу, покуда параллельно проводилась обширная информационная кампания на тему того, как пользователям избавиться от DNSChanger и вернуть себе нормальную переадресацию. В противном случае юзеры потеряли бы доступ в Сеть.

Наконец, нельзя не вспомнить недавнее обнаружение ботнета, состоявшего в значительной степени из «умной» домашней электроники (как минимум один холодильник участвовал в рассылке спама) и, увы, всё тех же роутеров.

Откровенно говоря, довольно странно, что атаки на роутеры происходят не то, чтобы очень часто: слишком много преимуществ получают киберпреступники, которым удаётся взять под свой контроль беспроводной маршрутизатор. Самые очевидные — это возможность перехвата всего трафика, который проходит через устройство, и скрытность. Если появляются признаки заражения локальной сети зловредами, то в первую очередь будут проверять «конечный рубеж» — компьютеры, серверы, мобильные устройства. Роутеры оказываются далеко не в начале списка подозреваемых, и проверять их будут не в первую очередь.

С другой стороны, успешное заражение роутера при условии, что пароль на нём сложнее, чем «admin/1234», как правило, — не такая простая задача. Подавляющее большинство роутеров используют файловые системы, располагающиеся в оперативной памяти, так что после каждой перезагрузки роутер надо «перезаражать», а заражение в большинстве случаев возможно только изнутри локальной сети (роутеры обычно защищены от воздействия с внешних IP-адресов). Поэтому чтобы захватить контроль над устройством, злоумышленнику необходимо сначала тем или иным способом установить вредоносное ПО на какую-либо из машин внутри сети. С неё же потом маршрутизатор и будет «перезаражаться». При этом, если пользовательские компьютеры перезагружаются относительно часто, то роутер могут не трогать месяцами (при условии, что он нормально работает), поэтому зараза может сидеть в роутере весьма и весьма продолжительное время.

К тому же, ещё в 2008 году проходила информация о том, что специалисту по безопасности удалось разработать вредоносный руткит для роутеров Cisco. Учитывая популярность роутеров этой марки, новость о рутките тогда наделала много шуму.

Как следует из вышесказанного, главная опасность для бизнеса состоит в том, что, заразив роутер, удачливые злоумышленники могут незаметно и довольно долго перехватывать весь трафик, проходящий через него, а это отличная «позиция» для шпионажа.

Обезопаситься от этого относительно просто: во-первых, никаких «простых» паролей; во-вторых, адекватная настройка: в большинстве прошивок роутеров присутствует масса инструментов для защиты локальной сети. И, в-третьих, обновление прошивок сразу после их выхода: как и во всех программных оболочках, там могут присутствовать бреши вроде той, которую эксплуатирует червь The Moon.

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.