Uwaga na włamania do routerów

Specjaliści z firmy ESET – producenta jednego z najpopularniejszych programów antywirusowych przeanalizowali nowe zagrożenie włamujące się do popularnych routerów i zmieniające ich ustawienia. Konsekwencją czego, każda próba połączenia użytkownika z serwisem Google lub Facebook może doprowadzić do zainfekowania komputera zagrożeniem o nazwie Win32/Sality, które zamienia komputery w zombie.

Zagrożenie o nazwie Win32/Sality nie jest nowe, powstało ono głównie w celach zarobkowych i najprawdopodobniej nadal skutecznie spełnia swoje zadania i założenia. Działanie tego złośliwego programu polega na infekcji komputerów i przejęciu na nimi kontroli, zmieniając je w tzw. maszyny zombie, które bez zgody i wiedzy użytkowników wykorzystywane są np. do wysyłania spamu lub do realizowania zmasowanych ataków Distributed Denial of Service(DDoS) na serwery stron WWW, po których atakowane w ten sposób strony stają się niedostępne.

 

Analitycy ds. zagrożeń z ESET, pracujący w laboratorium antywirusowym producenta antywirusa ESET NOD32 zauważyli w grudniu 2013 roku, że sieć komputerów zombie stworzona przez komputery zainfekowane zagrożeniem Win32/Sality znacznie zwiększyło swoje rozmiary. Jak wykazała analiza, zagrożenie ostatnio zwiększyło prędkość działania i jest wspomagane przez zagrożenie Win32/RBrute. Win32/Sality posiłkuje się Win32/RBruteem w dwóch wersjach: A oraz B. Obie odmiany zagrożenia są wykorzystywane przez szkodnika do powiększania istniejącej już sieci zainfekowanych komputerów zombie. Według danych z ESET sieć ta obecnie liczy ponad 115 tys. komputerów na całym świecie.

 

Zagrożenie Win32/RBrute wspomagające Sality można przyrównać do „headhuntera”, odnajdującego w sieci panele dostępu administracyjnego popularnych routerów:

D-Link DSL-2600U Huawei EchoLife TP-Link TD-8816 TP-Link TD-8817
D-Link DSL-2542B TP-LINK TP-Link TD-8817 2.0 TP-Link TD-8840T
D-Link DSL-2520U TP-Link TD-8840T 2.0 TP-Link TD-W8101G TP-Link TD-W8151N
TP-Link TD-W8901G TP-Link TD-W8901G 3.0 TP-Link TD-W8901GB TP-Link TD-W8951ND
TP-Link TD-W8961ND TP-Link TD-W8961ND ZTE ZXDSL 831CII ZTE ZXV10 W300

 

Jeśli właściciel jednego z powyższych modeli routerów ma włączoną możliwość dostępu do routera spoza wewnętrznej sieci domowej, zagrożenie Win32/RBrute spróbuje zalogować się do routera, stosując kilka z najpopularniejszych domyślnych nazw użytkownika, np. admin, root, administrator, support lub user oraz jedno z kilkudziesięciu najbardziej popularnych haseł stosowanych przez użytkowników. W łatwych hasłach prócz oczywistych powtórzeń wspomnianych nazw, znajdują się m.in.:  „abc123”, „12345678”, „qwerty”, „password” czy „trustno1”. Jeśli jakaś kombinacja hasła i nazwy użytkownika okaże się prawidłowa, szkodnik RBrute w wersji A włamie się do routera i zmienia jego kluczowe ustawienia.

 

Po udanej modyfikacji ustawień routera do akcji wkracza Win32/RBrute w wersji B, tzw. egzekutor, którego zadaniem jest w chwili próby połączenia się ze stroną w domenie Google lub Facebook, nawiązanie połączenia  nie z wybraną stroną, a z zupełnie innym komputerem zainfekowanym zagrożeniem Win32/Sality. W efekcie wyświetla się informacja o konieczności pobrania instalatora Google Chrome. Pochopne pobranie i instalacja „dodatku” powoduje dołączenie komputera do grona tych zainfekowanych przez Win32/Sality kontrolowanych przez cyberprzestępców.

 

Dobra rada: jeśli masz jeden z wymienionych routerów, sprawdź czy zdalny dostęp do routera z sieci zewnętrznej jest wyłączony i czy Twoje hasło dostępowe do routera jest odpowiednio silne. Dla pewności przeskanuj Swój komputer dobrym programem antywirusowym.


Zaufali nam