Trend Micro: Az internet háborúba indul az otthoni routerekért

A Trend Micro Incorporated, a kiberbiztonsági megoldások globális vezetője „Worm War: The Botnet Battle for IoT Territory” címmel tanulmányt tett közzé, amely a fogyasztókat egy jelentős új támadási hullámra figyelmezteti, amely az otthoni routerek feltörésére és IoT botnetekben való felhasználására irányul. A jelentés sürgeti a felhasználókat, hogy tegyenek lépéseket annak biztosítására, hogy eszközeik ne vegyenek részt bűncselekményben.

Az utóbbi időben megugrott a routereket célzó támadások száma. Különösen érezhető 2023 negyedik negyedévében. Az új kutatások azt mutatják, hogy az ilyen eszközökkel kapcsolatos visszaélések növekedése folytatódni fog, mivel a támadók könnyen visszaszerezhetik az ilyen fertőzéseket a további támadások során, eltérített útválasztókkal.

Mivel ma már nagyon sokan használják az otthoni hálózatokat munkához és tanuláshoz, egyre fontosabbá vált annak nyomon követése, hogy mi történik a routerükkel” – mondta John Clay, a Trend Micro kiberfenyegetésekkel kapcsolatos kommunikációért felelős globális vezetője – „Lépéseket kell tennünk annak biztosítására, hogy az otthoni felhasználók ne legyenek rosszindulatú tevékenységek célpontjai. – A kiberbűnözők fokozták támadásaikat, mivel tudták, hogy az otthoni routerek túlnyomó többsége az alapértelmezett felhasználónevet és jelszót használja. Az otthoni felhasználók a hálózati sávszélesség csökkenéseként érezhetik, hogy átveszik az irányítást a routerük felett. De azok a szervezetek, amelyek a fertőzött routereket használó támadások célpontjai, azt tapasztalhatják, hogy a botnetek offline állapotba hozzák a webhelyeiket – ezt már láttuk korábbi nagy horderejű támadások során”.

A Trend Micro kutatása szerint 2023 októberében kezdődött a jelszó eltérítési kísérletek növekedése a routereken. Ebben az esetben a támadók olyan szoftvert használnak, amely automatikusan feltöri a gyakori jelszó-kombinációkat. Az ilyen kísérletek száma több mint tízszeresére nőtt, a szeptemberi 23 millióról 2023 decemberére közel 249 millióra. A Trend Micro 2023 márciusában közel 194 millió telnet bejelentkezést regisztrált.

A fenyegetés növekedését jelzi az is, hogy az eszközök megpróbálnak telnet munkamenetet kezdeményezni más IoT-eszközökkel. Mivel a telnet protokoll nem tartalmaz adattitkosítást, a támadók vagy botnetjeik előszeretettel használják hitelesítő adatok gyűjtésére. 2023. március közepén tetőzött, amikor egyetlen hét alatt mintegy 16 000 eszköz próbált telnet munkamenetet nyitni más IoT-eszközökkel.

Ez a tendencia több okból is aggasztó. A kiberbűnözők egymással versengenek, hogy minél több routert kompromittáljanak, hogy bekerülhessenek a botnetekbe. Ezeket a botneteket aztán underground oldalakon forgalmazzák, akár DDOS-támadások végrehajtásához, akár más illegális tevékenységek, például kattintáscsalás, adatlopás és fiókeltérítés anonimizálására szolgáló eszközként.

A verseny annyira éles, hogy a bűnözők eltávolítanak minden olyan rosszindulatú programot, amelyet egy megtámadott, versenytárs által telepített routeren találnak, hogy kizárólagos irányítást szerezzenek az eszköz felett. Az otthoni felhasználó, akinek az útválasztóját kompromittálták, elsőként tapasztalhat teljesítményproblémákat. Ha az eszköz később támadásba keveredik, az IP-címe feketelistára kerülhet, ami azt eredményezi, hogy a felhasználó nem csatlakozik az internet és a vállalati hálózatok kulcsfontosságú részeihez.

A jelentés szerint virágzik a botnet és a botnet malware feketepiaca. Bár bármely IoT-eszköz feltörhető és felhasználható egy botnet részeként, a routerek különösen érdeklik a támadókat, mivel könnyen hozzáférhetők és közvetlenül az internethez kapcsolódnak.

A Trend Micro ajánlásokat tett közzé az otthoni felhasználók számára:

– győződjön meg róla, hogy erős jelszót használ; időről időre változtassa meg;

– győződjön meg róla, hogy a legfrissebb firmware-verzió van telepítve a routerre;

– Ellenőrizze az eszköznaplókat olyan tevékenységek után, amelyeknek nincs értelme a hálózaton belül;

– Csak helyi hálózati hozzáférést engedélyez az útválasztóhoz.

A teljes jelentés elérhető a Trend Micro Incorporated weboldalán