«Устаревшие маршрутизаторы как уязвимость: использование их киберпреступниками»

Федеральное бюро расследований (ФБР) отмечает тревожную тенденцию, связанную с использованием киберпреступниками устаревших моделей маршрутизаторов для создания скрытных прокси-сетей. Эти устройства, по сути, представляют собой уязвимые точки в инфраструктуре интернета, так как они больше не получают обновлений безопасности от производителей и, следовательно, подвержены воздействию вредоносного кода.

В официальном информационном бюллетене ФБР указывается, что речь идёт о маршрутизаторах, которые были сняты с производства и больше не защищены от известных уязвимостей. Злоумышленники активно внедряют в эти устройства вредоносное программное обеспечение ( ВПО ), используя общедоступные эксплойты. Заражённые маршрутизаторы подключаются к ботнет-сетям, где они выполняют функции прокси-серверов, маскируя реальные IP-адреса преступников.
Агенты ФБР отмечают, что взломанные маршрутизаторы продаются через платформы 5Socks и Anyproxy, предоставляя доступ к ним лицам, стремящимся скрыть своё местоположение или обойти блокировки при совершении кибератак, дистанционном шпионаже и других незаконных действий.

Среди наиболее уязвимых моделей маршрутизаторов, подвергшихся атакам, выделены устройства старых серий Linksys и Cisco, включая E1200, E2500, E1000, E4200, WRT320N и WRT610N. Эксперты ФБР также обращают внимание на активное заражение маршрутизаторов с удалённым администрированием, таких как Cradlepoint E100 и Cisco M10.

В отчёте ФБР подчёркивается, что многие из этих маршрутизаторов используются в ботнет-сетях, где функционирует модифицированная версия вредоносной программы TheMoon. Этот инструмент позволяет злоумышленникам превращать маршрутизаторы в прокси-серверы и управлять ими с помощью команд, поступающих с управляющих серверов. Такие команды часто направлены на сканирование уязвимостей в сети или участие в кибератаках.
Сотрудники ФБР отмечают, что в некоторых случаях к хакерским операциям были причастны структуры, связанные с государственными игроками, в частности, из Китая. Подтверждено, что через уязвимости в устаревших маршрутизаторах осуществлялись шпионские операции, включая атаки на объекты критической инфраструктуры национального значения.

Трафик, проходящий через заражённые маршрутизаторы, используется в различных преступных схемах, начиная от сокрытия следов при хищении цифровых активов и заканчивая выполнением атак по заказу. ФБР указывает, что такие прокси-сети помогают злоумышленникам избегать систем обнаружения, что значительно затрудняет расследование и установление личности преступников.

Специалисты ФБР предупреждают о характерных признаках заражения маршрутизаторов, которые включают нестабильность работы сети, повышение температуры корпуса устройства, снижение скорости соединения, изменения в системных настройках и появление неизвестных учётных записей с правами администратора. Также может наблюдаться подозрительная сетевая активность, которую пользователь может обнаружить через интерфейс устройства или в системных отчётах маршрутизатора.