Современные роутеры, как домашние, так и офисные, работают ядре ОС Linux, что делает возможным запуск на них вредоносного ПО под эту платформу. Далее дело за малым: найти способ этот код запустить. При этом значительное число их владельцев, включая администраторов офисных сетей, уделяют защите роутеров (как и другого сетевого оборудования) очень мало внимания. Один из последних примеров - заражение более чем 40 000 роутров по всему миру, после чего они были объединены в единый ботнет, с которого осуществлялись атаки DDoS против различных объектов по всему миру.
В этом случае заражению подверглись роутеры Ubiquiti, у которых администраторы не сменили логин и пароль по умолчанию. У этих роутеров доступ к интерфейсу управления по HTTP и SSH возможен и через интернет, т.е. для получения контроля над ними достаточно выбрать IP-адрес и логин/пароль по умолчанию.
По сообщению компании Incapsula, недавно было обнаружено заражение 40 000 домашних и офисных роутеров в 109 странах мира, хотя большая часть зараженных роутеров находилась в Таиланде (64%), Бразилии (21%) и США (4%). Роутеры были заражены в основном разными версиями трояна MrBlack (Trojan.Linux.Spike.A), который предназначен для осуществления атак типа DoS/DDoS и может получать команды с удаленного сервера. На всех зараженных роутерах присутсвтовали разные варианты этого трояна, а в некоторых случаях - и другое вредоносное ПО: Dofloo, Mayday, BillGates (также трояны для организации DoS) и Skynet (бэкдор).
Наибольшая часть управляющих серверов расположена в Китае (73%) и США (21%). Причем установленным вредоносным ПО пользовалось несколько разных групп для решения своих задач, более того, благодаря легкости взлома очень легко добавить в зараженное устройство свой, новый экземпляр вредоносного ПО (такие случаи происходили в том числе при проведении исследования). Кроме того, зараженные устройства используются для поиска новых незащищенных роутеров, у которых открыт порт SSH и вход в которые возможен с паролем по умолчанию.
Подробнее с деталями атаки можно ознакомиться в официальном исследовании. В любом случае, владельцы роутеров должны обязательно контролировать доступ к роутеру из внешней сети (WAN), а если необходимости в нем нет - вообще отключать его, а также обязательно менять пароли по умолчанию, иначе роутер становится моментально уязвимым для широкого спектра вредоносного ПО. Причем использование его для DDoS - лишь наименее опасный вариант. Такой роутер может быть использован для перехвата трафика, в т.ч. конфиденциального, доступа к внутренним ресурсам, подмены DNS (для перенаправления на вредоносный сайт или поддельный, например, вместо сайта банка) и т.д.
