CZ.NIC je na stopě botnetu vytvořeného z napadených routerů

CZ.NIC je na stopě botnetu vytvořeného z napadených routerů

Podle zjištění bezpečnostních expertů ze sdružení CZ.NIC zjevně existuje aktivní botnet fungující na napadených domácích routerech. Principiálně jednoduchá analýza odhalila, že napadené routery zkouší otevírat další, popisuje na blogu sdružení CZ.NIC Bedřich Košata. Jak velký je rozsah botnetu se zatím neví.

Na odhalení existence botnetu postaveném z napadených routerů se podílely routery projektu Turris. Ty jsou vybaveny různými sledovacími funkcemi, které slouží pro monitoring bezpečnosti v českých sítích. Jedna z nových funkcí umožňuje detekci síťových útoků a sleduje, s jakými hesly se útočník snaží ke správě routeru proniknout. Zdánlivě malá okrajová informace však vedla k zajímavým zjištěním.

Útočníci pochopitelně nejčastěji zkouší nejrozšířenější hesla jako je root/root nebo admin/admin, ale najdou se i specifické výjimky, jako například „J8UbVc5430“. Když se ale takové unikátní heslo najednou začne objevovat v útocích pravidelně a k němu ještě další taková, dá se snadno odhalit, že se jedná o seznam hesel vytvořený jedním uživatelem. A také se dá zjistit, co mají útoky vedené s touto sérií hesel společné.

Klepněte pro větší obrázek 
Podivně husté zastoupení podivných hesel... (zdroj: CZ.NIC)

Není těžké zjistit, z jakých IP adres se útočí a když to všechno dali v CZ.NIC dohromady, tak zjistili, že za většinou IP adresy, ze kterých se útočilo jednotnou sérií hesel stojí domácí routery od Asusu, a to z modelových řad, u kterých bylo v minulosti zjištěno, že obsahují bezpečnostní díry. Zjištění, že samotná hesla pochází z uniklých databází hesel, to už nepřekvapí. Mohou se vyskytovat v řadě jiných útoků. Ale že zrovna několik unikátních hesel ve stejném pořadí přichází z podobných routerů dává jasné indicie, že je to dílo jednoho botnetu. Průzkum je teprve v začátcích a do dnešního rána bylo nalezeno zatím 183 unikátních IP adres s napadeným routerem.

Mimochodem, v průběhu bylo zjištěno, že četnost pokusů o napadení routeru s veřejnou IP adresou a přístupným telnetem je přibližně jednou za tři minuty. Pokud tedy takové zařízení připojíte k veřejnému internetu dřív, než u něj změníte přístupové heslo, je dost možné, že než změnu hesla provedete, bude už mít botnet v routeru zadní vrátka. 

 

Témata článku: Bezpečnost, Internet, Router, CZ.NIC, Admin, Root, Veřejná Wi-fi

21 komentářů

Nejnovější komentáře

  • dpcstb 25. 5. 2015 22:24:01
    skoda ze aktualizovat firmware sa raci iba minimu vyrobcov 3-[
  • Dr.No64 25. 5. 2015 20:22:52
    Kuba zase crackoval co ?! ustredni vir se skryva na serveru policie cr...
  • marek Z 25. 5. 2015 16:12:15
    dá se někde zjistit jestli v tom nejedu taky?
Určitě si přečtěte

Co je realita a fikce? Brzy to nepoznáme. A.I. ze Stanfordu tvoří fotky z neexistujících měst

Co je realita a fikce? Brzy to nepoznáme. A.I. ze Stanfordu tvoří fotky z neexistujících měst

** Fotografii každý vnímá jako jednoznačný důkaz ** časem to ale přestane platit ** Strojové učení se totiž neustále zdokonaluje

16.  8.  2017 | Jakub Čížek | 13

USB zařízení je možné odposlouchávat ze sousedního portu

USB zařízení je možné odposlouchávat ze sousedního portu

** Crosstalk byl dřív problém paralelních portů, dnes se ho pokusili prověřit na USB ** Zařízení ze sousedního USB portu může odposlouchávat to vedlejší ** Mohou vznikat záškodnické flašky nebo třeba USB lampičky

14.  8.  2017 | Adam Harmada | 19

Nový Skype! Vypadá jinak a je „sociálnější“

Nový Skype! Vypadá jinak a je „sociálnější“

18.  8.  2017 | Markéta Mikešová | 36


Aktuální číslo časopisu Computer

Velký test NVMe a SATA SSD

Máte slabý signál
Wi-Fi? Poradíme!

Jak umělá inteligence opravuje fotky

Kupujete dron? Ty levné se nevyplatí