Axborot xavfsizligi sohasida ishlovchi Italiyaning VoidSec kompaniyasi yaqinda Aethra routerlaridan topilgan botnet haqida maqola chop etdi. Ma’lum bo’lishicha, bu qurilmalar xakerlik hujumiga moyil bo’lib, tajovuzkorlar WordPress saytlariga shafqatsiz hujumlar o’tkazish uchun bunday qurilmalardan botnetlardan foydalanadilar.
Ushbu hujumlardan birini kompaniya mutaxassisi hujumga uchragan WordPress saytlari jurnallarini tahlil qilganda aniqladi. Ma’lum bo’lishicha, hujum IP-manzillarning juda yaqin diapazonidan kelgan. Batafsil tahlildan so‘ng, hujum 6 ta internet-provayderga tegishli IP-manzillardan amalga oshirilganligi ma’lum bo‘ldi: Fastweb, Albacom (BT-Italia), Clouditalia, Qcom, WIND va BSI Assurance UK. Italiyada 4 ta provayder ishlaydi. Ushbu kompaniyalarning aksariyati o’z mijozlari uchun Aethra routerlarini o’rnatadilar.
Standart sozlamalar – xaker uchun sovg’a
Internetda marshrutizatorlarning standart sozlamalarini o’rnatilgandan keyin o’zgartirish bo’yicha tavsiyalar mavjud bo’lishiga qaramay, ko’pchilik ISP mijozlari buni qilmaydi. Kimdir dangasa, kimdir buni qanday qilishni bilmaydi yoki qo’rqadi. Natijada, o’g’rilar hali ham katta faoliyat maydoniga ega, qayerga qaytish kerak.
Aethra routerlariga kelsak, provayderlarning mijozlari parolsiz standart logindan foydalanganlar. Ba’zi qurilmalar, shuningdek, turli xil XSS va CSRF hujumlariga sezgir bo’lib, buzg’unchiga turli loginlardan foydalanilgan taqdirda ham qurilmani nazorat qilish imkonini beradi.
Internetga ulangan qurilmalarni qidiruvchi Shodan xizmatidan foydalanib, tadqiqotchilar butun dunyo bo‘ylab 12 000 dan ortiq Aethra routerlarini topdilar. Aksariyat qurilmalar Italiyada joylashgan – 10866 dona. 8000 kishi shafqatsiz hujumlarda qatnashgan. Bugungi kunga kelib, aniqlangan qurilmalarning 70% standart sozlamalar bilan ishlamoqda.
Mutaxassislarning taxminiy hisob-kitoblariga ko’ra, har bir zararlangan router 1-10 Gbit/s tezlikda DDoS hujumini amalga oshirishi mumkin.
Endi nima?
Ma’lum bo’lishicha, bu muammo taxminan bir yil oldin aniqlangan. Kompaniya hujumlarda marshrutizatorlari ishtirok etgan ikki yirik italyan provayderi bilan bog‘landi. Fastweb juda tez javob berdi va zaiflikni proshivka yangilanishi bilan bir hafta ichida tuzatdi. Boshqa bir kompaniya, BT-Italia, muammoni tan oldi, lekin 11 oy davomida hech narsa qilmadi.
