4

Mały, niepozorny, zapomniany. Router może być przyczyną sporych kłopotów

Nie tylko router, ale w sumie każdy sprzęt sieciowy - nawet ten występujący po stronie Twojego ISP. Jednak odniesienie do routerów może być dla wielu z Was nieco bardziej zrozumiałe. Wśród wielu użytkowników internetu, świadomość możliwości zainfekowania już nie smartfona, nie komputera i nie tabletu, a właśnie urządzenia dostępowego jest niska. I to stanowi spory problem.

Mówimy o takiej możliwości przy okazji incydentu związanego z urządzeniami firmy MikroTik, co warte uwagi – często obecnych m. in. w polskich urzędach oraz w infrastrukturach dostawców usług internetowych. Chińczycy, którzy są całkiem sprawnymi ekspertami ds. cyberbezpieczeństwa odkryli niedawno, że mnóstwo sprzętów wyprodukowanych przez MikroTik zostało zaatakowanych przez hakerów. Co więcej, w sieci ma znajdować się ponad 370 000 maszyn potencjalnie podatnych na zainfekowanie ich niebezpiecznym malwarem. Warto zauważyć, że ta metoda pojawiła się krótko po tym, jak WikiLeaks opublikowało informacje o toolkicie Vault7, który „wyparował” z CIA i najpewniej posłużył cyberprzestępcom do konstruowania narzędzi „na własne potrzeby”.

Jak wynika z informacji zgromadzonych przez Chińczyków (Netlab 360), nieco ponad 7500 maszyn MikroTik jest aktualnie podsłuchiwanych – ruch przez nie obsługiwany jest przekierowany na zdalne serwery należące do cyberprzestępców. Natomiast 239 000 innych urządzeń zmieniono w proxy SOCKS 4.

MikroTik zazwyczaj nie występuje w roli urządzeń domowych – sprzęty sieciowe tej firmy najczęściej można znaleźć w szkołach, urzędach oraz firmach. W Polsce resellerzy MikroTika wygrali w Polsce sporo przetargów w jednostkach administracji publicznej, gdzie przede wszystkim liczyła się cena stworzenia działającej infrastruktury. Mimo, że MikroTiki są sprzedawane nierzadko „po kosztach”, cieszyły się one dotychczas całkiem niezłą opinią.

router

Co mogą zrobić cyberprzestępcy z takimi urządzeniami?

Warto wiedzieć, że niektóre urządzenia stanowiące ważne elementy infrastruktury ISP mają do dyspozycji własne procesory oraz pamięci RAM, konieczne do obsłużenia sporego ruchu. Zresztą, nawet domowe routery to właściwie „mini-komputery”, które potrzebują odpowiednich zasobów do realizowania przydanych im zadań. I między innymi te zasoby mogą być atrakcyjne dla cyberprzestępców – w przypadku MikroTik doszło już do tego, że za pomocą Vault7 udało się przekształcić niektóre sprzęty w… koparki kryptowalut, oczywiście negatywnie wpływając na wydajność tworzonej przez nie infrastruktury. Niemniej, badacze wykazali, że atak z użyciem CoinHive nie przyniósł zbyt wielkich korzyści cyberprzestępcom – głównie dlatego, że ci popełnili sporo błędów w trakcie konstruowania ataku.

Inne metody natomiast zakładają przechwytywanie ruchu sieciowego lub / i wciąganie do spreparowanej sieci proxy. Nie są to oczywiście „mniej niebezpieczne” metody atakowania, hakerzy dzięki temu mogą wręcz uprawiać prawdziwe żniwa, mając do dyspozycji ogromne ilości danych użytkowników konkretnej sieci.

Choć MikroTik wydał aktualizację pozwalającą na uniknięcie tego typu incydentów, nie każdy zdecydował się ją zainstalować. Routery, ale nie tylko są często niewyposażone w automatyczne mechanizmy pozwalające na uaktualnienia bezpieczeństwa. To spory problem, bowiem i użytkownicy, a czasami też i administratorzy nie chcą sobie zawracać tym głowy. A okazuje się, że coraz częściej te urządzenia, których z zasady nie podejrzewamy o infekcję mogą stać się przyczyną niemałych kłopotów.