FBI varuje, hackeri opäť rozbehli útok na routery užívateľov: Ak máš doma jeden z týchto modelov, si ohrozený aj ty!
Hackeri zaútočili na staré nepodporované routery, ktoré ešte možno nájsť vo veľa domácnostiach. Toto sú postihnuté modely.
Americká FBI varuje pred útokmi hackerov, ktorí sa zamerali na routery vybraných značiek, informuje portál MakeUseOf.
Vo všetkých prípadoch ide o staršie routery, ktoré sa už dostali na koniec svojho životného cyklu. Mnohí užívatelia nevedia, že aj Wi-Fi routery majú svoje aktualizácie, ktoré zariadenie buď optimalizujú, alebo opravujú bezpečnostné medzery. Staršie zariadenia na konci životného cyklu prestávajú dostávať tieto aktualizácie a teda existujúce bezpečnostné slabiny už nebudú nikdy opravené.
Hackeri sa preto zameriavajú na staršie zariadenia, ktoré majú tieto chyby otvorené a dokážu ich zneužiť, aby sa dostali do siete obete. V prípade úspešného útoku môže hacker následne napadnúť aj tvoje zariadenia pripojené k sieti, napríklad smartfóny alebo počítače. Do nich môže nainštalovať malvér alebo sledovať, čo robíš.
Cez dieru v routeri nainštalujú zákerný malvér
V rámci tohto útoku hackeri šíria malvér TheMoon. Po prvýkrát sa škodlivý softvér objavil v roku 2014. Americká FBI informuje, že tento malvér nepotrebuje heslo, aby infikoval iné routery. Malvér funguje tak, že hľadá otvorené porty a následne posiela škodlivý príkaz, ktorý zneužíva slabinu v skriptovaní routera. Keď sa príkaz vykoná, následne hackerský C2 server nadväzuje spojenie s routerom a začína sa škodlivá operácia.
Malvér, ktorý sa nahrá do infikovaných routerov, dovoľuje útočníkom udržať si prístup k hacknutému zariadeniu. Následne routery spája do väčšieho botnetu. Botnet je sieť infikovaných zariadení, ktorá môže vykonávať napríklad DDoS útoky. Ďalšie využitie je, že hackeri môžu infikované zariadenie predávať ako proxy, teda nástroj na maskovanie skutočnej IP adresy iných hackerov.
Neprehliadni
Zatiaľ sa FBI podarilo zhodiť dve falošné domény, Anyproxy a 5Socks. Tieto portály využívajú infikované zariadenia práve na ponúkanie proxy služieb. Aby si sa pred týmto útokom ochránil, ak nájdeš svoj router na zozname, bohužiaľ, najlepšou možnosťou je kúpiť novšie, stále podporované, zariadenie. Nižšie nájdeš zoznam ohrozených routerov.
Rizikové modely routerov:
- Cisco M10
- Cisco Linksys E1500
- Cisco Linksys E1550
- Cisco Linksys WRT610N
- Cisco Linksys E1000
- Cradlepoint E100
- Cradlepoint E300
- Linksys E1200
- Linksys E2500
- Linksys E3200
- Linksys WRT320N
- Linksys E4200
- Linksys WRT310N
Ak vlastníš novší router, stále je dôležité pravidelne a často monitorovať aktualizácie. Práve pravidelná aktualizácia ti môže pomôcť minimalizovať riziká, ktoré vychádzajú z neaktualizovaného zariadenia.
Hackeri momentálne cielia na rôzne routery
Hackeri aj pred pár mesiacmi rozbehli kampaň, v rámci ktorej cielili na staršie routery. V tomto prípade cielili na routery TP-Link Archer. Útoky stále môžu prebiehať. Ide o botnet s názvom Ballista, ktorý využíva zraniteľnosť CVE-2023-1389 na vzdialené vykonanie kódu (RCE). Útok bol prvýkrát zaznamenaný v januári 2025 a odvtedy infikoval viac ako 6 000 zariadení po celom svete. Odborníci upozorňujú, že zraniteľnosť bola aktívne zneužívaná už od apríla 2023 a pôvodne slúžila na šírenie malvéru Mirai. Neskôr sa však objavili ďalšie varianty, vrátane Condi a AndroxGh0st, čo poukazuje na pretrvávajúce bezpečnostné riziká.
Ballista sa šíri cez nezabezpečené routery a používa shell skript „dropbpb.sh“, ktorý stiahne a spustí hlavné malvérové súbory pre rôzne systémové architektúry, ako napríklad mips, arm alebo x86_64. Po infikovaní zariadenia sa vytvorí šifrované pripojenie na riadiaci server (C2) cez port 82, čo umožňuje hackerom prevziať kontrolu nad mnohými sieťovými zariadeniami. Malvér následne vykonáva príkazy útočníkov, čo môže zahŕňať napríklad spustenie ďalšieho škodlivého kódu alebo zapojenie zariadenia do rozsiahlych kybernetických útokov.
Botnet Ballista je mimoriadne nebezpečný, pretože podporuje rôzne činnosti, vrátane DDoS útokov, masívneho zahlcovania cieľa požiadavkami, zneužitia zraniteľností vytvorením zadných vrátok pre ďalšie útoky, spúšťania škodlivých príkazov a ovládania infikovaných zariadení. Viac sa o tomto útoku dozvieš v našom článku.
Komentáre