Почему ботнеты так часто атакуют роутеры и камеры?

Потому что у них слабая защита, редкие обновления и часто открытый доступ извне. Для злоумышленника это удобная точка входа в сеть и быстрый способ собрать много устройств в одну группу.

Что делать, если роутер уже давно не обновлялся?

Сначала сменить пароль администратора и отключить ненужный удалённый доступ. Если производитель больше не выпускает обновления, лучше заменить устройство или вынести его в изолированный сегмент сети.

Как понять, что устройство могло попасть в ботнет?

Обратить внимание на странную нагрузку, неизвестные процессы, новые cron-задачи, самопроизвольные перезапуски и подозрительный внешний трафик. Для офиса полезно смотреть ещё и на аномальные соединения к множеству адресов подряд.

C0XMO бьёт по DD-WRT и другим устройствам

Раньше ботнеты для роутеров считали грубым инструментом с узкой специализацией. Теперь исследователи видят более гибкую схему: C0XMO умеет заражать не только устройства с прошивкой DD-WRT, но и другую технику с разной архитектурой процессора.

Что произошло и почему это важно

Новая версия семейства Gafgyt использует уязвимость CVE-2021-27137 в DD-WRT и может без аутентификации выполнить произвольный код на устройстве. Дальше вредоносное ПО расширяет захват сети: ищет открытые сервисы, перебирает слабые пароли по Telnet и SSH, подбирает подходящий бинарник под архитектуру и закрепляется в системе.

Для обычного пользователя это не просто история про один «сломанный роутер». После заражения устройство превращается в узел ботнета, который можно использовать для DDoS-атак, скрытого сканирования сети и дальнейшего распространения внутри инфраструктуры. Похожий принцип мы уже разбирали в материале о цепочках атаки, которые приводят к захвату домена: слабое звено редко остаётся одиночным.

Какие у C0XMO есть варианты заражения

Исследователи Fortinet отмечают модульную архитектуру: операторы могут менять техники эксплуатации, добавлять или убирать целевые платформы и развивать боковое перемещение без переписывания всей нагрузки. В арсенале — сборки под ARM, MIPS, PowerPC, SuperH, x86, x86_64 и другие архитектуры.

Есть и практическая часть. После запуска C0XMO копирует себя в скрытые каталоги вроде /tmp/.sys и /var/tmp/.sys, ставит cron-задачи на повторный запуск и правит shell-профили, чтобы переживать перезагрузку. Затем он вычищает конкурирующие ботнет-клиенты и даже некоторые инструменты администраторов, если они мешают его работе.

Отдельный акцент — на атаке на сетевую видимость. Скрипт внутри кампании сканирует внешние адреса по типовым портам 22, 23, 80, 443, 7547, 8080, 8443 и 8888, а затем подбирает способ закрепиться на найденной цели. Это уже не случайный шум, а вполне выстроенный конвейер заражения.

Плюсы и минусы разных подходов к защите

1. Обновлять прошивку и софт

Это базовый и самый надёжный шаг. Плюс очевиден: вы закрываете известные дыры, через которые ботнету проще всего войти. Минус тоже знакомый — на старом оборудовании обновления часто выходят редко или уже не выходят вовсе.

2. Убрать лишний удалённый доступ

Если админский вход извне не нужен, его лучше отключить. Так вы сокращаете поверхность атаки и убираете лишний канал для перебора паролей. Но если у вас распределённая сеть или удалённое администрирование, придётся заранее продумать безопасную альтернативу.

3. Сменить заводские учётные данные

Уникальный пароль администратора до сих пор остаётся одним из самых дешёвых и эффективных барьеров. Ботнеты вроде C0XMO активно давят на слабые и повторяющиеся пароли, особенно на устройствах с открытым Telnet или SSH. Минус у этого метода только один — его часто откладывают «на потом».

4. Поставить дополнительные меры цифровой гигиены

Когда сеть часто работает через публичные точки доступа, полезно сочетать контроль паролей, двухфакторную защиту и инструмент для шифрования трафика в поездках. Это не лечит уязвимый роутер, но снижает риск утечки учётных данных и упрощает жизнь, если злоумышленник уже начал собирать трафик или перехватывать сессии.

Кому что подходит

Домашнему пользователю хватит трёх вещей: обновить прошивку, сменить пароль администратора и отключить удалённое управление, если оно не нужно. Для малого офиса к этому стоит добавить инвентаризацию сетевого железа: часто именно старый роутер, камера или шлюз становятся точкой входа.

Администратору корпоративной сети нужно смотреть шире. Важны сегментация, контроль исходящих соединений, журналирование аномалий и проверка устройств, которые торчат в интернет. Иначе ботнет быстро переходит с одного узла на другой, а замечают его уже после падения сервиса или всплеска подозрительного трафика.

Отдельная проблема — сервисы, которые давно никто не обслуживает. Если в сети есть устаревшие DVR, камеры, медиашлюзы или домашние устройства сотрудников, их лучше вынести в отдельный сегмент или заменить. Именно на таком зоопарке C0XMO и чувствует себя особенно уверенно.

Что делать прямо сейчас

Проверить, не используется ли в сети DD-WRT или другое старое сетевое ПО.
Обновить прошивку роутера и всех внешних устройств, если производитель ещё выпускает патчи.
Поменять пароль администратора на уникальный и длинный.
Отключить Telnet, лишний SSH и удалённый доступ с интернета, если он не нужен.
Проверить, нет ли на устройстве странных cron-задач, неизвестных процессов и новых учётных записей.
Просмотреть внешние порты, через которые устройство доступно из сети.
Для рабочих ноутбуков и телефонов включить менеджер паролей и 2FA.
Если часто используете публичные сети, заранее настроить дополнительный слой защиты трафика и не вводить пароли на случайных точках доступа.

Комментарии (0)

Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.

Пока комментариев нет. Вы можете быть первым.

Оставить комментарий

Имя — 2–40 символов и хотя бы одна буква. Комментарий — без HTML, без оскорблений и ненормативной лексики.

Имя Комментарий 0 / 4000

Защита от ботов: 3 + 7 =

C0XMO атакует роутеры DD-WRT и переходит на другие устройства

Что произошло и почему это важно

Какие у C0XMO есть варианты заражения