Киберпреступники способны нанести урон маршрутизаторам, которые защищены слабыми паролями, если задействовать функции удалённого доступа. Специалисты из компании Black Lotus узнали, что именно это произошло в октябре прошлого года. Пострадали от этого сотни тысяч маршрутизаторов.
Событие произошло в США в конце октября. Всего за несколько дней от сети были отключены свыше 600 тысяч маршрутизаторов для малого и домашнего офиса (SOHO). Атака была проведена против двух моделей маршрутизаторов ActionTec (T3200, T3260). Какой именно метод при этом применялся, установить не удалось. Точно не использовались эксплоиты или уязвимости нулевого дня, так что речь может идти о брутфорсе, когда слабые пароли подбираются простым перебором. Они же мог использоваться открытый административный интерфейс.
Попадая в систему, злоумышленники задействовали троян удалённого доступа Chalubo для установки вредоносных прошивок. Эти прошивки сделали маршрутизаторы неработоспособными, из-за чего провайдеру пришлось поменять их. О существовании Chalubo известно с 2018 года. Приложение умеет шифровать коммуникационные связи, используется для DDoS-атак, выполняет пользовательские скрипты Lua.
Конкретный провайдер назван не был, но среди пострадавших есть клиенты провайдера Windstream из Арканзаса. Это провайдер обеспечивает доступом в сеть сельские и другие удалённые сообщества, позволяет подключаться к экстренным службам, сервисм дистанционного мониторинга урожая и управления медицинскими приложениями. Похоже, что преступники не использовали взломанные маршрутизаторы для DDoS-атак, поэтому неизвестно, какую выгоду они получили от своих действий.
