Internet vam je spor? Možda vam je zaražen ruter

Tekstovi o zaštiti, 17.06.2022, 10:00 AM

Izvor: Kaspersky

Svake nedelje proveravate da li na vašem računaru ima virusa, redovno ažurirate sistem i programe, koristite jake lozinke i generalno vodite računa na mreži ali iz nekog razloga vam je internet spor i nekim veb sajtovima ne možete da pristupite? Ako ste se prepoznali u ovom scenariju, možda je malver na koji sumnjate ne na vašem računaru, već u ruteru.

Zašto ruteri? Sajber kriminalci ciljaju rutere uglavnom iz dva razloga. Prvo, zato što sav mrežni saobraćaj ide preko ovih uređaja. Drugo, ne možete skenirati ruter običnim antivirusom. Dakle, malver u ruteru ima mnogo mogućnosti za napad i mnogo manje šanse da bude otkriven, a kamoli da bude izbrisan.

Šta sajber kriminalci mogu da urade sa zaraženim ruterom?

Jedan od najčešćih slučajeva je da se zaraženi ruter pridruži botnetu, mreži uređaja koji šalju bezbroj zahteva određenom veb sajtu ili onlajn servisu kao deo DDoS napada. Cilj napadača je da preopterećuju ciljani servis do te mere da se uspori i na kraju zakaže.

U međuvremenu, obični korisnici čiji su ruteri praktično oteti imaju problem sa sporijim internetom jer su njihovi ruteri zauzeti slanjem zlonamernih zahteva.

Prema podacima kompanije Kaspersky, rutere su u 2021. najčešće napadale dve porodice malvera: Mirai i Meris, pri čemu je prva prednjačila sa skoro polovinom svih napada na rutere.

Mirai je ozloglašeni malver a njegovo ime na japanskom znači „budućnost“. Malver je poznat od 2016. godine. Osim rutera, poznato je da inficira IP kamere, pametne televizore i druge IoT uređaje. Prvobitno zamišljen da izvodi DDoS napade velikih razmera na Minecraft servere, Mirai botnet je kasnije počeo da se koristi i u napadima na druge servise. Izvorni kod malvera je davno procurio na internetu i od tada je osnova za sve nove varijante.

Meris znači „kuga“ na letonskom. Ovaj malver je inficirao na hiljade uređaja, uglavnom MikroTik rutera, koje je povezao u mrežu za DDoS napade. Na primer, tokom napada na jednu američku kompaniju 2021. godine, broj zahteva iz mreže uređaja zaraženih Merisom dostigao je 17,2 miliona u sekundi. Nekoliko meseci kasnije, botnet je napao nekoliko ruskih finansijskih i IT kompanija, sa rekordnih 21,8 miliona zahteva u sekundi.

Malver koji inficira ruter može da napravi još ozbiljniju štetu, kao što je krađa vaših podataka. Kada ste onlajn, šaljete i primate mnogo važnih informacija: podatke o plaćanju u onlajn prodavnicama, akreditive na društvenim mrežama, poslovne dokumente putem imejla. Sve ove informacije prolaze kroz ruter. Tokom napada, malver može da presretne podatke koji odlaze pravo u ruke sajber kriminalaca.

Jedan takav malver za krađu podataka je VPNFilter. Inficiranjem rutera i NAS servera dobija se mogućnost prikupljanja informacija i kontrole ili isključivanja rutera.

Malver smešten u ruteru može krišom da vas preusmeri na stranice sa oglasima ili zlonamerne sajtove umesto na one koje želite da posetite. Vi (pa čak i vaš pregledač) ćete misliti da pristupate legitimnom veb sajtu, a zapravo ste u rukama sajber prevaranta.

Na primer, kada unesete URL nekog sajta (recimo, google.com) u adresnu traku, vaš računar ili pametni telefon šalje zahtev posebnom DNS serveru, gde se čuvaju sve registrovane IP adrese i njihovi odgovarajući URL-ovi. Ako je ruter zaražen, umesto legitimnog DNS servera, on može da šalje zahteve lažnom serveru koji na upit „google.com“ odgovara IP adresom potpuno drugačijeg sajta, recimo nekog fišing sajta.

Trojanac Switcher je radio upravo to: infiltrirao bi se u podešavanja rutera i naveo zlonamerni DNS server kao podrazumevani. Naravno, svi podaci upisani na lažnim stranicama bi odlazili u ruke napadača.

Kako malver ulazi u rutere? Postoje dva glavna načina za postavljanje malvera u ruter: pogađanjem administratorske lozinke ili iskorišćavanjem ranjivosti uređaja.

Svi ruteri istog modela obično imaju istu administratorsku lozinku u fabričkim podešavanjima. To ne treba mešati sa lozinkom za Wi-Fi - administratorska lozinka se koristi za ulazak u meni podešavanja rutera. Ako je korisnik ostavio fabrička podešavanja nepromenjena, napadači mogu lako da pogode lozinku, posebno ako znaju brend rutera, i da zaraze ruter.

Proizvođači su počeli ozbiljnije da shvataju bezbednost rutera pa dodeljuju jedinstvene lozinke svakom uređaju pojedinačno, čineći ovaj metod napada manje efikasnim. Ali pogađanje prave kombinacije za starije modele i dalje je lako za hakere.

Ranjivosti rutera su rupe u vašem prolazu ka internetu kroz koje sve vrste pretnji mogu da uđu pravo u vašu kućnu ili korporativnu mrežu ili možda samo da ostanu u samom ruteru, gde je manja verovatnoća otkrivanja. Gore pomenuti Meris botnet radi upravo to, iskorišćavajući nezakrpljene ranjivosti u MikroTik ruterima.

Prema istraživanju kompanije Kaspersky, samo u poslednje dve godine otkriveno je nekoliko stotina novih ranjivosti u ruterima. Da bi zaštitili korisnike, proizvođači rutera objavljuju zakrpe i nove verzije firmwarea ali nažalost, mnogi korisnici jednostavno ne shvataju da softver rutera treba da se ažurira, kao i drugi programi.

Kako se zaštititi?

√ Najmanje jednom mesečno proverite veb sajt proizvođača zbog najnovijih ažuriranja firmwarea rutera. Instalirajte ih čim budu dostupni. Za neke modele zakrpe stižu automatski, ali ponekad ih morate instalirati ručno.

√ Odaberite dugu, jaku administratorsku lozinku za vaš ruter. I da je ne biste zaboravili, koristite menadžer lozinki.

√ Ako ste dovoljno vešti ili pronađete uputstvo, onemogućite daljinski pristup administratorskim podešavanjima rutera.

√ Smislite jedinstvenu lozinku za Wi-FI, koristite jak standard šifrovanja i podesite mreže za goste tako da gosti ili komšije ne šire malver na vašoj mreži sa svojih zaraženih uređaja.

√ Koristite VPN aplikaciju koja će šifrovati sve odlazne informacije pre nego što ih prosledi ruteru, čuvajući ih od sajber kriminalaca čak i ako su zarazili uređaj.

Photo by Pixabay from Pexels