Hlavní navigace

Útočníci využívají napadené routery k šíření malware Dyre

Sdílet

Michal Strnad 30. 6. 2015

Analytici z Fujitsu Security Operations Center objevili druh bankovního trojského koně Dyre, který je šířen s pomocí stovek kompromitovaných domácích routerů. Konkrétně se tento problém týká routerů MikroTik a Ubiquiti AirOS.

Dyre je obvykle stažen pomocí dalšího trojského koně, Upatre. Upatre je mocný malware schopný provádět man-in-the-middle útoky a odchytávat přihlašovací údaje obětí.

Analytici spekulují, že se útočníkům podařilo kompromitovat tak velké množství zařízení díky využití výchozích přihlašovacích údajů. Například většina routerů Ubiquiti AirOS má jako login a heslo stejnou hodnotu - „ubnt“. 

Podle pozorování velkého počtu těchto zařízení použitých k šíření malware Dyre, měla většina otevřený port 23 (Telnet).

Vyhnout se kompromitaci routeru je jednoduché, stačí si změnit heslo na zařízení.

(Zdroj: SecurityAffairs)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 1. 7. 2015 9:20

    Nox (neregistrovaný) ---.sattnet.cz

    Tak uz i Mikrotik? Mozna by autori SW do routeru meli pridavat kod, ktery by uzivatele donutil jako prvni krok zmenit heslo na jine nez vychozi. Kdyz uz to muzou mit nektere webove stranky, proc by to nemohl mit router. Sifrovani wifi se dneska taky nastesti zapina samo.

  • 1. 7. 2015 10:20

    Martin P.

    ...donutil jako prvni krok zmenit heslo na jine nez vychozi... takové routery byly už několik let zpet na trhu jenže místo admin admin si dá 12345....

  • 1. 7. 2015 10:57

    Petr M (neregistrovaný) ---.honeywell.com

    Tak to je potom jednoduchý, testovací mašina ve fabrice vygeneruje unikátní heslo, to se vypálí do routeru a vytiskne se sériovým říslem na kartičku, která se přibalí k routeru. Když to je s PIN a PUK u SIMky a my takto můžeme dávat přihlašovací údaje k čmoudu u WiFi termostatů, nevím, proč by to nedal při troše snahy i výrobce routerů.

    Heslo zadrátovat na tvrdo, nabo dát požadavky na minimální délku, výskyt znaků, minimální rozdíl ASCII kódů sousedních znaků apod.

    Nebo kvalitní příručku o správě přes SSH a zakázat WAN do doby, než se na root bez hesla nenahraje autorizační klíč. Tím se přihlášení na blind zablokuje a odblokuje WAN port...

    Těch řešení by bylo plno, jenom myslet.

  • 1. 7. 2015 11:16

    mhi (neregistrovaný) ---.unhfree.net

    Duvod proc to vyrobce nebude delat je ten, ze u prvniho opatreni (heslo na stitku) mu bude volat spousta zakazniku ze nezna heslo (=stoupnou naklady na support, vratkovost u tech co to vzdaji).

    U opatren "Nebo kva..." klesne vyrazne prodejnost.

    Trh je neuprosny, lide bezpecne veci nechteji, chteji primarne JEDNODUCHE veci (a kdyz je to bezpecne, OK, proc ne?).

    Z praxe: mame produkt, ke kteremu se stahuji aktualizace z webu zadanim serioveho cisla produktu. Vsude (krabice, manual) piseme kde stahnout aktualizaci. Co myslite, ze jsou 2 nejcastejsi dotazy?

  • 1. 7. 2015 11:30

    MarSik (neregistrovaný) ---.redhat.com

    > Vsude (krabice, manual) piseme kde stahnout aktualizaci

    To je ten problém. Krabice je vyhozena a manuál je v šuplíku spolu s hromadou dalších.

    Heslo na nálepce (jen nesmí být termotiskem) přímo na zařízení je docela funkční řešení, protože na krabici může být "komix" a při rozbalení ten uživatel tu krabici ještě má.

    Nicméně i tak to nebude 100%, otázkou je jestli teď zase nevolají lidi se zapomenutým heslem :)

  • 1. 7. 2015 12:27

    Petr M (neregistrovaný) ---.honeywell.com

    Mají volat, že nemůžou najít nálepku na spodku, nebo že je odstřihl ISP kvůli šíření spamu a útočník jim před tím změnil heslo?

  • 1. 7. 2015 13:02

    Zero (neregistrovaný) 62.209.192.---

    Ale nie... maju volat ze su sprosty a nevedia si precitat manual a popripade vyresetovat router do factory settings.

  • 1. 7. 2015 13:30

    mhi (neregistrovaný) ---.unhfree.net

    Ekonomicke to moc neni, protoze udelat samolepku, ktera se lidem "neroztece" i po dlouhe dobe je problem. navic tu jsou lide kteri i pres samolepku, komix, upozorneni kde najit heslo (na logovaci obrazovce) ... stejne zavolaji.

    Prodate 100ks zarizeni mesicne, zavola 5%, lidi, no problem. Prodate tisicovku a uz to je skoro na novou pozici. Prodate jich 100 00 a uz to je vyznamny naklad (pri nizkych marzich).

  • 1. 7. 2015 13:37

    mhi (neregistrovaný) ---.unhfree.net

    Jeste dodam, ze neni vubec neobvykle, ze se ozvou i lide konkurencniho produktu se zadosti o pomoc.

    Nebo si pamatuju cloveka, ktery si koupil plagiat naseho produktu a domahal se supportu i po nekolikatem vysvetleni, ze ma plagiat a support mu tedy NEposkytneme.

    Nebo koncovy zakaznik, ktery chtel po roce vratit asi 90% z ceny produktu, kdyz vznikl v CN plagiat a ten stoji 10% nasi ceny. Po zamitnuti teto zadosti poslal 3x vyrobek na "reklamaci" a pak se dozadoval vraceni penez. Dokonce to skoncilo tak, ze to resila nejaka evropska spotrebitelska cast ČOI (v nas prospech, resp. hned usoudili ze to je cele uplny nesmysl).

    Realny svet je trosku jiny nez ten zpoza monitoru. Nekdy to je fajn a nekdy opravnu neni.

  • 1. 7. 2015 19:59

    -b-n-x- (neregistrovaný) ---.static.twtelecom.net

    Tak Comcast v USA takovehle modemy/routery se specialnim heslem na stitku normalne posila.

  • 1. 7. 2015 13:00

    Zero (neregistrovaný) 62.209.192.---

    Tak to je potom jednoduchý, testovací mašina ve fabrice vygeneruje unikátní heslo, to se vypálí do routeru a vytiskne se sériovým říslem na kartičku, která se přibalí k routeru.
    Budes sa divit ale ja na router-y mam tento stitok len tam je admin/admin (ale videl som aj router kde to heslo bolo nahodne vygenerovane, ale teraz neviem aka to bola znacka). Preco tam negeneruju nejake nahodne heslo fakt neviem.

    Heslo zadrátovat na tvrdo, nabo dát požadavky na minimální délku, výskyt znaků, minimální rozdíl ASCII kódů sousedních znaků apod.
    OS router-u je vecsinou nejaky embeded linux, takze tam by som na to videl idealne pouzit cracklib a tu kniznicu napakovat najpouzivanejsimi heslami a nedovolit nastavit to heslo

    Nebo kvalitní příručku o správě přes SSH a zakázat WAN do doby, než se na root bez hesla nenahraje autorizační klíč. Tím se přihlášení na blind zablokuje a odblokuje WAN port...
    Uzivatel sa na ten router musi prihlasit cez web rozhranie takze jeho citanie manualu/prirucky konci v mieste "...do prehliadaca napiste xxx.xxx.xxx.xxx a pouzijte user name:admin password:admin". A do toho manualu sa pozriet musi lebo vyrobcovia si tie ip davaju kazdy inu (niekedy je to 192.168.0.100, 10.0.0.1 atd...)

    Pred nedavnom som si vsimol podivnu aktivitu na mojom router-y (pokus o logovanie s default user/password a potom aj nejake pokusy o prelomenie hesla slovnikovou metodou. Tak somto vyriesil tak ze som si vygeneroval 10 miestny retazec s nahodnymi znakmi, pehnal to sha kodovanim a vysledok pouzil ako heslo. To heslo mam ulozene v subore na USB a ked potrebujem urobit nejaku upravu na router-y tak si pripojim usb skopirujem heslo a prihlasim sa. Nieje to 100% bezpecne (ulozenie hesla atd... ) ale mam aspon aku taku istotu ze to heslo je dostatoccne bezpecne a dlhe a pochybujem zeby utocnik teraz marnil cas luskanim hesla na jeden router (za ten cas moze skusit milion inych s default nastavenim).

  • 2. 7. 2015 7:46

    Petr M (neregistrovaný) ---.honeywell.com

    Já mám heslo k web administraci vygenerovaný v KeePassX, 32 znaků, v téže aplikaci uložený na MMC kartě v šufleti.

    Dlouho jsem je nepoužil. SSH + certifikát to jistí a OpenWRT se tak udržuje mnohem líp (např. při rozdělení dvou sítí to webový rozhraní hodilo do konfigu pro DHCP počáteční adresu poolu 192.192.168.0.31 a sebralo to hodinu hledání, kde je co blbě).

  • 1. 7. 2015 17:24

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Ono bohate staci, kdyz ta krabice bude od vyrobce nejak rozumne defaultne nakonfigurovana. 99,9999% tehle krabek nikdo nikdy rekonfigurovat nebude.

    A je pak uplne jedno, jestli v tom mas firmware 5, 10, 30let starej. Kde nic neni ...

    Samo, bylo by krasny a slunickovy ... kdyby se vyrobci dohodli na nejakym distru, pouzivali vsichni stejny, a spolecne udrzovali. Jenze to jak se muzes presvedcit nefunguje ani u androida. Miliardy neaktualizovanych telefonu ... je jich nasobne vic nez nejakych pitomych routeru, a prevazne jsou daleko zajimavesim cilem.