Как защитить свой роутер от взлома и установки домашнего прокси | Блог Касперского

Зачем домашние маршрутизаторы Wi-FI в целевых атаках и как защититься от этой угрозы

Недавно раскрытый взлом тысяч домашних маршрутизаторов ASUS показывает, что, кроме вас и ближайших соседей, ваша домашняя точка доступа Wi-Fi нужна еще и обычным киберпреступникам, и даже хакерам на госслужбе, проводящим целевые шпионские атаки. Новая атака, предположительно связанная с печально известной группировкой APT31, продолжается, она опасна своей скрытностью и необычным способом защиты от нее, поэтому важно разобраться, зачем злоумышленникам роутеры и как защищаться от хакерских трюков.

Как используют взломанные маршрутизаторы

• Домашний прокси. Когда хакеры атакуют крупные компании и госучреждения, атаку часто вычисляют по необычным адресам, с которых идет обращение к защищаемой сети. Подозрительно, когда компания работает в одной стране, а ее сотрудник внезапно входит в корпоративную сеть из другой. Не менее подозрительны обращения с известных адресов VPN-серверов. Чтобы замаскироваться, злоумышленники применяют взломанный роутер в нужной стране и даже нужном городе, рядом с объектом атаки. Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру. При мониторинге это выглядит как обычное обращение сотрудника к рабочим ресурсам из дома, ничего подозрительного.
• Командный сервер. На взломанном устройстве выкладывают вредоносное ПО, чтобы скачивать его на заражаемые компьютеры. Или, наоборот, выкачивают нужную информацию из атакованной сети прямо на ваш роутер.
• Ловушка для конкурентов. Роутер могут использовать как приманку, чтобы изучать способы взлома, применяемые другими группировками хакеров.
• Прибор для майнинга. Любое вычислительное устройство можно применять для майнинга криптовалюты. Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно.
• Инструмент манипуляции вашим трафиком. На роутере можно перехватывать и изменять содержимое интернет-соединений — так злоумышленники могут атаковать все подключенные к домашней сети устройства. Спектр применения этой техники — от кражи паролей до внедрения рекламы в веб-страницы.
• Бот для DDoS-атак. Любые домашние устройства, включая роутеры, видеоняни, умные колонки и даже чайники, можно объединить в сеть ботов и «положить» любой онлайн-сервис миллионами одновременных запросов с этих устройств.

Эти варианты будут полезны разным группам злоумышленников. Если майнинг, реклама и DDoS чаще интересны киберпреступникам с финансовой мотивацией, то целевые атаки под прикрытием домашнего IP-адреса проводят либо банды вымогателей, либо группировки, занимающиеся настоящим шпионажем. Звучит как детектив, но распространено настолько широко, что об этом в разное время выпустили несколько предупреждений Американское агентство по безопасности инфраструктуры (CISA) и ФБР. Шпионы, как им и положено, действуют предельно незаметно, поэтому владельцы роутера замечают его «двойное назначение» крайне редко.

Как взламывают роутеры

Два самых распространенных способа взлома — подбор пароля к административным функциям и использование программных уязвимостей в ПО маршрутизатора. В первом случае злоумышленники пользуются тем, что хозяева оставили в роутере заводские настройки и пароль admin или сменили пароль на простой в запоминании и подборе, например 123456. Подобрав пароль, атакующие заходят в панель управления точно так же, как и владелец устройства.

Во втором случае злоумышленники дистанционно тестируют роутер, чтобы определить его производителя и модель, а затем по очереди пробуют известные уязвимости, чтобы захватить контроль над устройством.

Обычно после успешного взлома на роутер устанавливают скрытное вредоносное ПО, выполняющее нужные атакующим функции. Его можно заметить по возросшей нагрузке на интернет-канал и процессор, а иногда даже перегреву роутера. Полный сброс или обновление прошивки роутера приводят к устранению угрозы. С новой атакой на ASUS, правда, все оказалось иначе.

В чем отличие атак на ASUS и как их обнаружить

Главная особенность атаки — ее нельзя устранить простым обновлением прошивки. Атакующие оставляют себе лазейку административного доступа, которая сохраняется при обычной перезагрузке или обновлении версии ПО.

Начало взлома идет обоими описанными способами. Если подобрать пароль администратора не удалось, злоумышленники эксплуатируют две уязвимости, чтобы обойти необходимость аутентификации вообще.

А вот дальше атака усложняется. Пользуясь еще одной уязвимостью, хакеры активируют на роутере его штатную возможность дистанционного управления по протоколу SSH и прописывают в настройках свой криптографический ключ, который позволяет им подключиться и управлять устройством.

Домашние пользователи редко управляют устройством по SSH и заходят в подраздел настроек, где перечислены административные ключи. Поэтому такой способ доступа может оставаться незамеченным годами.

Все три уязвимости, применяемые в атаке, уже устранены производителем. Но если ваш роутер ранее взломали, обновление прошивки не устранит уже созданный «черный ход». Нужно самостоятельно зайти в настройки и проверить, не включен ли на роутере сервер SSH, принимающий соединения на порту 53282. Если это так, надо отключить сервер SSH и удалить прописанный в настройках административный SSH-ключ, начинающийся с символов

AAAAB3NzaC1yc2EA

Если вы не уверены, как проделать все перечисленное, есть более грубый способ — полный сброс роутера к заводским настройкам.

Не только ASUS

Исследователи, обнаружившие атаку, считают ее частью другой, более широкой кампании, которая поразила около 60 типов бытовых и офисных устройств, включая системы видеонаблюдения, NAS и офисные серверы VPN. Пораженными названы D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224, а также некие устройства QNAP. Атака на них развивается несколько иначе, но имеет те же общие черты: уязвимости, применение штатных функций устройства для контроля над ним, скрытность. По оценкам исследователей, взломанные устройства служат для переадресации трафика и наблюдения за методами атак, которые используют конкуренты. Эти атаки приписывают «обеспеченной ресурсами и очень квалифицированной» хакерской группировке. Но подобные методики взяли на вооружение группы по всему миру, проводящие целевые атаки, — поэтому их будут интересовать домашние роутеры в любой мало-мальски крупной стране.

Выводы и советы

Атака на домашние роутеры ASUS демонстрирует характерные признаки целевых вторжений: скрытность, взлом без использования вредоносного ПО, создание канала доступа, который сохраняется после устранения уязвимости и обновления прошивки устройства. Что домашний пользователь может противопоставить таким атакующим?

• Выбор роутера важен. Не удовлетворяйтесь коробочкой, которую провайдер сдает в аренду, не выбирайте по самой низкой цене. Изучите ассортимент в магазинах электроники и приобретайте модель, которая выпущена в последние год-два (и поэтому еще долго будет получать обновления). Постарайтесь выбрать производителя с серьезным отношением к безопасности. Это сложно, идеальных вариантов среди них нет. Можно ориентироваться на частоту выпуска обновлений прошивки и заявленный период техподдержки устройства. Изучить свежие новости о безопасности роутеров можно, например, на сайте Router Security, но про хорошие новости там не пишут, это полезно скорее для поиска «антигероев».
• Регулярно обновляйте прошивку устройства. Если роутер предлагает автоматический режим обновления, лучше использовать эту функцию, чтобы не заниматься обновлениями и не затягивать их. Но несколько раз в год стоит проверять «самочувствие» роутера, его настройки, а также версию прошивки. Если обновлений прошивки не было более года-полутора, возможно, пора менять роутер на новый.
• Отключайте все ненужные сервисы на роутере. Пройдите по всем настройкам и отключите любые службы и «удобства», которыми не пользуетесь.
• Отключите административный доступ к роутеру из Интернета (WAN) по всем каналам управления (SSH, HTTPS, Telnet и что угодно еще).
• Отключите мобильные приложения для управления роутером. Хотя они удобны, их использование создает целый ряд новых рисков — кроме смартфона и роутера в дело наверняка вступит фирменный «облачный сервис». Поэтому лучше выключить этот способ управления и не пользоваться им.
• Смените стандартные пароли для администрирования роутера и для подключения к Wi-Fi. Эти пароли должны быть разными. Каждый должен быть длинным и не должен состоять из очевидных слов или цифр. Если роутер позволяет, смените учетную запись (имя пользователя) с admin на что-то свое, а запись admin отключите.
• Используйте комплексную защиту домашней сети. Например, в Kaspersky Premium есть модуль защиты умного дома, который отслеживает типичные проблемы вроде уязвимых устройств и слабых паролей. Обнаружив слабые места или новое, ранее не отмеченное вами как «известное», устройство в вашей сети, мониторинг умного дома предупредит об этом и даст рекомендации по защите.
• Проверьте все подразделы конфигурации роутера. Изучайте следующие подозрительные моменты: (1) наличие переадресации портов (port forwarding) на устройства домашней сети или внешнего Интернета, которые вам незнакомы, (2) наличие дополнительных пользователей, которых вы не создавали, (3) наличие SSH-ключей или любых других незнакомых вам реквизитов входа в систему. Если что-то подобное нашлось, поищите в Интернете комбинацию из вашей модели роутера и подозрительного фрагмента информации (имя пользователя, адреса портов). Если найденная вами странность нигде не описана как системная особенность маршрутизатора, удалите эти данные.
• Подпишитесь на наш Telegram-канал и будьте в курсе всех новостей мира кибербезопасности.

Подробнее о том, как выбрать, настроить и защитить устройства умного дома, а также о других угрозах хакеров вашим бытовым электронным помощникам читайте в следующих постах:

• Как спланировать умный дом и извлечь максимум пользы из имеющихся устройств?
• Как защитить умный дом: подробная инструкция
• Как могут взломать умный дом от застройщика или управляющей компании
• Три причины не использовать умные замки
• Зловред в роутере: скрытая угроза

05.06.2025