О важности смены реквизитов доступа или новая дрянь (VPNFilter).

Router Trojan

В очередной раз, стопка уже до боли знакомых имён прогремела в очередном хаке домашних маршрутизаторов:

Троян VPNFilter заразил 500 тыс. роутеров в 54 странах мира

Эксперты по безопасности с тревогой наблюдают за растущей эпидемией вредоносной программы VPNFilter, которая успела за

относительно короткий срок заразить не менее 500 тыс. роутеров и иных сетевых устройств в 54 странах мира. Наибольшее количество

заражений наблюдается на территории Украины.

Подробнее: http://safe.cnews.ru/news/top/2018-05-25_novyj_troyan_napal_na_routerypolmilliona_ustrojstv

Так вот. Если попробовать прикинуть, как ей это удалось, то можно (на правах Ванги) предположить следующее.

Скорее всего, эта дрянь заражает Windows на ПК пользователя. Затем лезет по адресу шлюза, пытается выяснить, что за роутер используется, если выяснила -проверяет базу паролей по умолчанию на web/telnet, если не выяснила – неспешно брутфорсит.

Далее, после получения доступа в WEB/telnet, можно уже делать ооочень многое. Крайне сомнительно, что троян где-то там сохраняется и переживает перезагрузку. Скорее всего, используется постоянная подгрузка со скомпрометированного ПК. Как помогает сброс – не ясно. Скорее всего никак, вероятно просто сбрасываются какие-нибудь правила фильтрации и т.д.

Проще говоря, основные проблемы, которые были и остаются причинами таких взломов:

  1. Windows на ПК пользователя (славщаяся своей дырявостью) скомпрометировав которую, в итоге можно долго жить и насиловать всё доступное в сети пользователя железо, а если ввод перехватить, и пользователь решит порулить какой-то железкой в своей сети – пиши пропало (как пример одного из методов получения паролей от железяк)
  2. Пользователи часто не меняют пароли на доступ в интерфейс управления роутеров, ибо считают “а нафига, из инета же доступа нет?”, впрочем даже когда открывают доступ к web или telnet из мира – один фиг не меняют.
  3. Встроенные, вшитые в код сервисные учётные записи, излишняя автоматизация а-ля попытка загрузить по tftp фирмварь из локальной сети, даже если текущая нормально грузится и работает (а поскольку многие поделки без ребутов не живут, то поймать такой момент труда не составляет). Всякие сомнительные протоколы конфигурирования по L2, как, например, у микротиков, также могут являться просто зияющей дырой.

Проще говоря, всё от раздолбайства + невозможности аудита решений большинства вендоров на предмет закладок.

Использование устройств с OS Wive-NG позволяет полностью контролировать отсутствие закладок в ПО. А следование рекомендациями на нашем сайте позволит избежать вот таких вещей.

Обсуждение проблемы операторами РФ тут https://forum.nag.ru/index.php?/topic/140870-kto-to-na-etu-zarazu-popal-vpnfilter/
P.S. Справедливости ради, стоит отметить, что это не единственно возможный сценарий. Наверняка могут быть использованы и более сложные методы взлома, однако в 99% случаев именно вышеозначенные вещи приводят к подобным последствиям.
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •