Роутеры стали инструментом для DDoS
Одним из главных вызовов последних месяцев стали атаки DDoS беспрецедентной длительности и мощности. При этом уже с начала марта злоумышленники используют для их проведения ресурсы, захваченные в России. И значительную их часть составляли роутеры, в том числе беспроводные. Наиболее активными являются ботнеты Mirai и Mēris.
"Злоумышленники стали интересоваться домашними роутерами как воротами в корпоративные сети, а компании — как потенциальным вектором атаки. О повышенном внимании к сетевым устройствам говорит резкий рост числа найденных в них уязвимостей в последние годы", - предупреждает руководитель российского исследовательского центра "Лаборатории Касперского" Мария Наместникова. За 2020-2021 годы исследователи обнаружили в общей сложности 500 уязвимостей в разных моделях роутеров, включая потребительские, корпоративные и индустриальные серии устройств. При этом 18% уязвимостей являются критичными, а почти 54% имеют высокий приоритет. И вендоры не спешат устранять даже критичные уязвимости. Так, по данным исследования "Лаборатории Касперского", к июню 2022 не было устранена без малого треть критических уязвимостей.
Положение осложняется тем, что пользователи не знают, что им делать с сетевым оборудованием. "Если с защитой ноутбуков, настольных компьютеров и даже мобильных устройств пользователи уже более-менее освоились, то что делать с роутерами и нужно ли с ними что-то делать, ваши сотрудники могут не знать. По данным опроса британской компании Broadband Genie, 48% пользователей вообще не меняли никакие настройки своих роутеров, даже пароли от панели управления и сети Wi-Fi. При этом 73% из них не видят причин лезть в настройки, а 20% вообще не знают, как это делается", - говорится в отчете по результатам исследования.
В итоге взлом устройства или заражение его вредоносным ПО становится тривиальной задачей. Наиболее распространенными классами программных зловредов являются Mirai и Mēris, используемые для организации DDoS-атак. При этом ботнеты, состоящие из сетевого оборудования, за счет большого количества входящих устройств дешевы в эксплуатации и позволяют добиться рекордной мощности. При этом рядовой пользователь не всегда в состоянии детектировать заражение.
Менее распространены, но более опасны зловреды, направленные на кражу данных. К примеру, зловред Slingshot был использован в ходе ряда атак еще в 2018 году. Активно используется целый "комбайн" VPNFilter, который может заражать целый ряд моделей устройств от разных вендоров и применяемый для краж данных и атак на промышленное оборудование.
Однако эксперт Департамента телекоммуникаций "Крок" Виктор Беляев считает, что корпоративный сектор в России достаточно серьезно относится к информационной безопасности: "В большинстве случаев авторизация в корпоративных Wi-Fi сетях реализована на базе WPA2 Enterprise (802.1x) с использованием доменных учетных записей (PEAP) или сертификатов (EAP-TLS). Данный стек технологий в достаточной мере надежен". Вместе с тем, допущенные при настройке беспроводного оборудования ошибки могут снизить уровень надежности. Например, нежелание администратора устанавливать корневой сертификат на все клиентские устройства не позволит пользователю проверить подлинность корпоративной беспроводной сети, к которой он подключается, чем могут воспользоваться злоумышленники.
Серьезной проблемой является уход многих вендоров с российского рынка. Однако интеграторы, в частности, КРОК, готовы брать техническую поддержку их оборудования на себя. "Компания КРОК в текущей ситуации продолжает оказывать техническую поддержку по различным вендорам, таким как Cisco, Extreme Networks, HP, Fortinet, F5. В компании есть сертифицированные специалисты по различным решениям", -- информирует Виктор Беляев.
Также, по данным опроса британского интернет-провайдера Konnect, 35% респондентов признались, что несанкционированно подключаются к точкам доступа своих соседей. В среднем взломщик пользуется чужим подключением в течение 52 дней, а около процента – в течение всего года. Как правило, пароль удается подобрать, реже используется помощь знакомых и друзей или рекомендации, найденные в интернете.
Надо сказать, подобная практика не является сугубо британской спецификой. "Для платного доступа в гостиницах часто используются различные решения с порталами авторизации (captive portal). В случае использования порталов основной вектор атак направлен на туннелирование трафика через разрешенные до авторизации порты, например DNS (UDP 53). Таким образом злоумышленник, установив туннель со своим сервером через открытые порты, может получить доступ в интернет не оплачивая услугу", - предупреждает Виктор Беляев.