vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Правительственные хакеры используют старые устройства для анонимных атак.
Старые роутеры снова под ударом — киберпреступники превращают устаревшие устройства в теневые прокси, которые потом сдают в аренду на подпольных платформах вроде 5Socks и Anyproxy. ФБР опубликовало о новой волне атак, нацеленных на модели маршрутизаторов, давно снятых с поддержки и не получающих обновлений безопасности.
Главная цель злоумышленников — превратить такие устройства в «резидентные прокси» и встроить их в ботнет. В этой схеме заражённые роутеры становятся посредниками для проксирования интернет-трафика — это позволяет скрывать реальное местоположение киберпреступников, маскируя их действия под легитимную сетевую активность. Арендаторы таких прокси активно используют их для взлома, фишинга, кражи криптовалют и проведения атак по заказу.
Особую опасность представляют модели маршрутизаторов от Linksys и Cisco, включая Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, а также старые версии серии WRT — WRT320N, WRT310N, WRT610N. Также среди уязвимых оказались Cradlepoint E100 и Cisco M10. Все они давно признаны устаревшими и не получают обновлений прошивки.
ФБР подчёркивает, что для взлома используются публично доступные эксплойты, позволяющие внедрять в устройство устойчивое вредоносное ПО. В новых атаках злоумышленники используют обновлённую версию вредоноса TheMoon — известного ботнета, нацеленного именно на роутеры. Попав на устройство, TheMoon подключает его к управляющему серверу (C2), откуда поступают команды на дальнейшее распространение, сканирование уязвимых систем и создание новых прокси-точек.
Отдельно отмечено, что злоумышленники, поддерживаемые государством, в том числе китайские хакеры, уже применяют этот подход для и атак на критически важную инфраструктуру в США. Это добавляет проблем — устройства, оставленные без внимания, становятся точкой входа в стратегические объекты.
Признаки того, что маршрутизатор уже стал частью ботнета, включают нестабильность соединения, перегрев, тормоза в работе, изменения конфигурации, появление новых администраторских аккаунтов и аномальный сетевой трафик. Особенно рискуют пользователи, у которых включено удалённое администрирование.
Наиболее надёжная мера защиты — замена устаревшего оборудования на современные модели с активной поддержкой. Если это невозможно, необходимо скачать последнюю доступную прошивку с официального сайта производителя, отключить удалённое администрирование и сменить стандартные учётные данные администратора.
Специалисты советуют администраторам провести проверку сетевого оборудования и как можно скорее вывести из эксплуатации устройства, находящиеся в группе риска.
Старые роутеры снова под ударом — киберпреступники превращают устаревшие устройства в теневые прокси, которые потом сдают в аренду на подпольных платформах вроде 5Socks и Anyproxy. ФБР опубликовало о новой волне атак, нацеленных на модели маршрутизаторов, давно снятых с поддержки и не получающих обновлений безопасности.
Главная цель злоумышленников — превратить такие устройства в «резидентные прокси» и встроить их в ботнет. В этой схеме заражённые роутеры становятся посредниками для проксирования интернет-трафика — это позволяет скрывать реальное местоположение киберпреступников, маскируя их действия под легитимную сетевую активность. Арендаторы таких прокси активно используют их для взлома, фишинга, кражи криптовалют и проведения атак по заказу.
Особую опасность представляют модели маршрутизаторов от Linksys и Cisco, включая Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, а также старые версии серии WRT — WRT320N, WRT310N, WRT610N. Также среди уязвимых оказались Cradlepoint E100 и Cisco M10. Все они давно признаны устаревшими и не получают обновлений прошивки.
ФБР подчёркивает, что для взлома используются публично доступные эксплойты, позволяющие внедрять в устройство устойчивое вредоносное ПО. В новых атаках злоумышленники используют обновлённую версию вредоноса TheMoon — известного ботнета, нацеленного именно на роутеры. Попав на устройство, TheMoon подключает его к управляющему серверу (C2), откуда поступают команды на дальнейшее распространение, сканирование уязвимых систем и создание новых прокси-точек.
Отдельно отмечено, что злоумышленники, поддерживаемые государством, в том числе китайские хакеры, уже применяют этот подход для и атак на критически важную инфраструктуру в США. Это добавляет проблем — устройства, оставленные без внимания, становятся точкой входа в стратегические объекты.
Признаки того, что маршрутизатор уже стал частью ботнета, включают нестабильность соединения, перегрев, тормоза в работе, изменения конфигурации, появление новых администраторских аккаунтов и аномальный сетевой трафик. Особенно рискуют пользователи, у которых включено удалённое администрирование.
Наиболее надёжная мера защиты — замена устаревшего оборудования на современные модели с активной поддержкой. Если это невозможно, необходимо скачать последнюю доступную прошивку с официального сайта производителя, отключить удалённое администрирование и сменить стандартные учётные данные администратора.
Специалисты советуют администраторам провести проверку сетевого оборудования и как можно скорее вывести из эксплуатации устройства, находящиеся в группе риска.
