Specjaliści z firmy ESET – producenta jednego z najpopularniejszych programów antywirusowych przeanalizowali nowe zagrożenie włamujące się do popularnych routerów i zmieniające ich ustawienia. Konsekwencją czego, każda próba połączenia użytkownika z serwisem Google lub Facebook może doprowadzić do zainfekowania komputera zagrożeniem o nazwie Win32/Sality, które zamienia komputery w zombie.
Zagrożenie o nazwie Win32/Sality nie jest nowe, powstało ono głównie w celach zarobkowych i najprawdopodobniej nadal skutecznie spełnia swoje zadania i założenia. Działanie tego złośliwego programu polega na infekcji komputerów i przejęciu na nimi kontroli, zmieniając je w tzw. maszyny zombie, które bez zgody i wiedzy użytkowników wykorzystywane są np. do wysyłania spamu lub do realizowania zmasowanych ataków Distributed Denial of Service(DDoS) na serwery stron WWW, po których atakowane w ten sposób strony stają się niedostępne.
Analitycy ds. zagrożeń z ESET, pracujący w laboratorium antywirusowym producenta antywirusa ESET NOD32 zauważyli w grudniu 2013 roku, że sieć komputerów zombie stworzona przez komputery zainfekowane zagrożeniem Win32/Sality znacznie zwiększyło swoje rozmiary. Jak wykazała analiza, zagrożenie ostatnio zwiększyło prędkość działania i jest wspomagane przez zagrożenie Win32/RBrute. Win32/Sality posiłkuje się Win32/RBruteem w dwóch wersjach: A oraz B. Obie odmiany zagrożenia są wykorzystywane przez szkodnika do powiększania istniejącej już sieci zainfekowanych komputerów zombie. Według danych z ESET sieć ta obecnie liczy ponad 115 tys. komputerów na całym świecie.
Zagrożenie Win32/RBrute wspomagające Sality można przyrównać do „headhuntera”, odnajdującego w sieci panele dostępu administracyjnego popularnych routerów:
| D-Link DSL-2600U | Huawei EchoLife | TP-Link TD-8816 | TP-Link TD-8817 |
| D-Link DSL-2542B | TP-LINK | TP-Link TD-8817 2.0 | TP-Link TD-8840T |
| D-Link DSL-2520U | TP-Link TD-8840T 2.0 | TP-Link TD-W8101G | TP-Link TD-W8151N |
| TP-Link TD-W8901G | TP-Link TD-W8901G 3.0 | TP-Link TD-W8901GB | TP-Link TD-W8951ND |
| TP-Link TD-W8961ND | TP-Link TD-W8961ND | ZTE ZXDSL 831CII | ZTE ZXV10 W300 |
Jeśli właściciel jednego z powyższych modeli routerów ma włączoną możliwość dostępu do routera spoza wewnętrznej sieci domowej, zagrożenie Win32/RBrute spróbuje zalogować się do routera, stosując kilka z najpopularniejszych domyślnych nazw użytkownika, np. admin, root, administrator, support lub user oraz jedno z kilkudziesięciu najbardziej popularnych haseł stosowanych przez użytkowników. W łatwych hasłach prócz oczywistych powtórzeń wspomnianych nazw, znajdują się m.in.: „abc123”, „12345678”, „qwerty”, „password” czy „trustno1”. Jeśli jakaś kombinacja hasła i nazwy użytkownika okaże się prawidłowa, szkodnik RBrute w wersji A włamie się do routera i zmienia jego kluczowe ustawienia.
Po udanej modyfikacji ustawień routera do akcji wkracza Win32/RBrute w wersji B, tzw. egzekutor, którego zadaniem jest w chwili próby połączenia się ze stroną w domenie Google lub Facebook, nawiązanie połączenia nie z wybraną stroną, a z zupełnie innym komputerem zainfekowanym zagrożeniem Win32/Sality. W efekcie wyświetla się informacja o konieczności pobrania instalatora Google Chrome. Pochopne pobranie i instalacja „dodatku” powoduje dołączenie komputera do grona tych zainfekowanych przez Win32/Sality kontrolowanych przez cyberprzestępców.
Dobra rada: jeśli masz jeden z wymienionych routerów, sprawdź czy zdalny dostęp do routera z sieci zewnętrznej jest wyłączony i czy Twoje hasło dostępowe do routera jest odpowiednio silne. Dla pewności przeskanuj Swój komputer dobrym programem antywirusowym.
