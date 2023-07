Botnet działał przez dwa lata. I co ciekawe - nikt go nie zauważył.

Amerykańska Cybersecurity and Infrastructure Security Agency (CISA) podała, że oparte na linuxie routery SOHO (czyli do użytku domowego oraz dla małych biur), mogą być ofiarami globalnej kampanii, która trwa już co najmniej od dwóch lat. Odkryto ją dopiero niedawno. Bierze w niej udział botnet, który wykorzystuje luki w firmware, aby umożliwić hakerom wejście do sieci domowej lub firmowej. Bardziej zagrożone są routery domowe, ponieważ osoby prywatne rzadziej aktualizują oprogramowanie niż ma to miejsce w firmach.

Botnet został nazwany AVrecon i o jego istnieniu wiadomo było już w maju 2021 roku. Jednak nie był - pozornie - aktywny. Zajmująca się bezpieczeństwem firma Black Lotus dokonała jego intensywnej analizy w bieżącym roku i odkryto, że system działał "cicho", a w przeciągu dwóch lat dobrał się do ponad 70 tysięcy routerów w co najmniej 20 krajach świata. W ten sposób cyberprzestępcy zyskali dostęp do ponad 40 tysięcy adresów IP. Wykorzystywał je do kampanii polegających na klikaniu na reklamy w systemach Google oraz Facebooka.

Jak to działało w praktyce? Gdy AVrecon przejmował kontrolę nad serwerem, przesyłał informacje o przejętym urządzeniu do serwera command&control, który łączył się z innymi serwerami C2 - było ich co najmniej 15. Wszystkie służyły zarządzaniu aktywnością botnetu. Jak sprawdzić, czy Twój router stał się ofiarą? Jak możemy przeczytać na stronie GData:

"Wejdź na stronę administracyjną danego modelu routera i sprawdź serwer DNS – powinien on być domyślnie ustawiony na opcję automatyczną. Gdy widnieją tam ustawienia ręczne, oznaczać może to zmianę ustawień systemu przez hakera – w takiej sytuacji najlepiej wrócić do ustawień fabrycznych i wyeliminować wszelkie infekcje oraz ślady włamania do routera. Po drugie bez wątpienia warto zmienić domyślne hasło podane przez producenta. Zaleca się także zmianę domyślnej nazwy sieci – to pokazuje, że zajrzałeś do ustawień, a także zmniejsza ryzyko złamania haseł dostępu. Jaką nazwę najlepiej ustawić? Postaw na kreatywność, ale nie podawaj w niej swoich wrażliwych danych – nazwiska, adresu czy telefonu, danych, które będą kojarzyły się bezpośrednio z Tobą! Trzecią ważną kwestią bezpiecznego routera jest wybór odpowiedniego protokołu zabezpieczającego – w domowej, prywatnej sieci warto postawić na WPA o jak najwyższym numerze."

Źródło: Techspot