Nezapomínáte na (nejenom) staré routery? Únik z Armády USA varuje

V květnu tohoto roku americké FBI žádala veřejnost o restart routerů. Ruská vláda stála za aktivitami, které vedly k napadení půl milionu routerů od velkého množství výrobců. VPN Filter, jak se zranitelnost jmenuje, měl sloužit k získání kontroly nad routerem a využití pro další účely. Jak se později ukázalo, novější varianty tohoto malware byly schopné přežít i restart a odstranit je bylo možné jedině aktualizace firmware.

Nedávný případ z USA ukazuje jak závažný a dlouhodobý problém to je. Z Armády USA unikly tajné dokumenty, a některé se objevily na prodej na Dark Webu. Útočník ale nebyl nijak zkušený hacker, k získání přístupu mu stačilo najít routery, na kterých provozovatel zapomněl změnit výrobcem přednastavené přihlašovací údaje.

K nalezení routerů využil známou databázi Shodan, která obsahuje záznamy o zařízeních připojených k Internetu. Měl tak trochu štěstí, narazil na routery používané v armádních sítích a dokonce se mu podařilo z minimálně dvou z nich získat až desítky tajných a citlivých dokumentů. Nezkušený byl i v tom, že nedokázal odhadnout jak hodnotné informace získal, takže se některé z dokumentů pokoušel prodávat za 150 dolarů na Dark Webu. Kde je nakonec objevili lidé z Recorded Future.

TIP: Praktické tipy týkající se WiFi routerů. Množství užitečných tipů se možná budou hodit

Je poměrně obtížné si představit, že armádní zařízení se mohou nacházet v nastavení přímo od výrobce, bez změněných hesel. Ještě méně to, že jsou volné přístupné z Internetu. Útočník po nalezení chybně nastavených zařízení totiž využil známou chybu v FTP protokolu a podařilo se mu dostat do vnitřní sítě a získat přístup k dalším počítačům. Ona známá chyba je navíc dva roky stará a Recorded Future upozorňují, že našli dalších více než 4 tisíce routerů, které je možné zneužít stejným způsobem.

Poučný případ týkající se i Česka

Pokud si dáte vyhledat napadnutelné routery v České republice (přes „port:21 214-ADMIN_LOGIN„), najde jich Shodan osm. Jeden z nich například patřící UPC, další jiným organizacím. Jakkoliv nejspíš žádný z nich nebude patřit Armádě ČR, stále jde o potenciálně napadnutelné a zneužitelné routery. Celosvětově jich Shodan dokáže identifikovat stále skoro čtyři tisícovky.

2018-08-23 10_03_00-port_21 214-ADMIN_LOGIN country__CZ_ - Shodan Search.png

Routery v domácnostech i ve firmách jsou přitom prakticky vždy připojeny k Internetu a dostupné pro kohokoliv. Pokud mají neaktuální firmware nebo výchozí nastavení, tak je velmi často možné je zneužít. V případě VPN Filter malware k vybudování sítě botů, které se dají používat pro útok na síťovou infrastrukturu, ale třeba i pro rozesílání spamů či těžbu kryptoměn.

Pokud ale útočník najde router umožňující přístup do firemní sítě, která navíc nebude dostatečně chráněna dalšími prostředky (dodatečný firewall, oddělené zóny, systémy pro detekci průniků, atd), tak se může dostat k informacím uvnitř firmy. Soubory, dokumenty, databáze bývají zpravidla na dosah ruky. Řada dalších počítačů a zařízení může být napadnutelná, v sítí je možné dlouhodobě sledovat provoz a získat tak přihlašovací údaje, nasadit malware a pokročilejší útočné techniky.

Shodan sice v Česku ukazuje jen osm zařízení, ale napadnutelných může být podstatně více. Pokud máte ve firmě síťová zařízení, routery, bezdrátové přístupové body, atd, měli byste věnovat pozornost aktualizacím a zabezpečení. Pravidelně a neustále, nikoliv jenom občas a náhodou.