Наш партнер GENESIS HACKSPACE

Хакспейс: Клуб — физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди. Первая сеть бесплатных хакспейсов в г.Тверь и области.

Сегодня обратились за помощью с интересной проблемой. Сразу несколько устройств в одной сети, подключённой по Wi-Fi, стали вместо загрузки страниц, показывать сайт с требованием заплатить куда-то 1000 рублей. Адрес сайта, на который происходило перенаправление, для вымогателей не новый — mvd.ru. Всё остальное также как обычно — ввести номер телефона, оплатить и т. д.

Интерес эта ситуация вызвала тем, что, как думалось, заражено одновременно несколько устройств сети — компьютер на Windows и пара адройд-устройств.

Это было интересно, так как вызвало вполне обоснованное предположение, что какой-то супер вирус не только проник, но и сумел инициировать заражение устройств другого класса.

Анализ было решено начать с компьютера. Антивирус ничего не находил. Файл hosts оказался пустым и это вызвало некоторое недоразумение — как, собственно, так? Хорошо, были проверены свойства сетевых адаптеров, а именно — записи DNS серверов. Они оказались пустыми.

Вернулись к мобильным гаджетам и воспользовались другим источником Интернета — никакого перенаправления на mvd.ru не было. Стало окончательно понятно, что дело в роутере.

Роутером оказался красавец ASUS RT-N66U с кастомной прошивкой — мощная штука, надо сказать. И хотя моделька уже несколько лет как не флагман, она может дать фору очень многих современным устройствам. Сразу же внимание было обращено на DNS сервера. Там были какие-то адреса (к сожалению, удалили не сохранив) — то ли от провайдера, то ли от злоумышленника. Их поменяли на привычные 8.8.8.8 и 8.8.4.4, сохранили, сбросили кэш DNS на компьютере:

Была обнаружена поднятая «левая» VPN сеть. Она также была отключена. А проблема никуда не исчезла. Скажу честно, в этом месте я крепко задумался. Была мысль опять вернуться к версии о «супер вирусе», но я решил поподробнее поизучать меню роутера.

И точно, во вкладке локальной сети также оказалось поле для DNS серверов, а в нём оказался IP адрес:


Мегаконкурс в апреле "Приведи друзей на codeby". Дарим деньги, подписку на журнал хакер и выдаем статус "Paid Access". Подробнее ...

Очистка этой записи и сброс кэша DNS сразу вернули в чувство не только компьютер, но и мобильных младших братьев.

Что могут взять из моего роутера?

Резонный вопрос. Что там сделают, если получат к нему доступ? Украдут заводскую прошивку? На самом деле, получив доступ к роутеру злоумышленник сразу получает:

  • пароль Wi-Fi
  • возможность сбрасывать и менять настройки
  • возможность подключаться к локальной сети и использовать снифферы
  • предыдущий пункт приведёт к утрате паролей от различный сайтов.

Это вполне типичный список и все про него хорошо знают. Интересно новый вариант, который я открыл для себя сегодня — вымогательство денег. Представьте себе ситуацию, когда вирус заразил компьютер, компьютер отказывается показывать какую-либо страницу, кроме предложения перечислить деньги. Причём вирус настолько изощрённый, что его не видит ни один антивирус, что даже переустановка операционной системы не приносит результата. Именно такое ощущение может возникнуть у не слишком искушённых пользователей.

Для каких устройств нужно менять стандартные пароли?

Для всех! Для роутеров, для веб-камер, для телевизоров, файловых серверов. Для всех программ, к которым можно залогиниться по Интернету, в том числе, например, для MySQL.

Насколько трудно взломать роутер?

Если у вас стандартный пароль, то его и взламывать не нужно. Для всех моделей стандартные пароли давным-давно выложены в Интернете. Какова вероятность, что кто-то узнает что у меня роутер/веб-камера/файловый сервер? Как они узнают мой IP адрес? Вероятность намного выше, чем вы можете думать. Существуют специальные программы (та же самая Nmap), которые просты в использовании. И, поверьте мне, каждый день огромное количество людей проводят сканирования. Может быть, каждый день кто-то «шелестит» по вашим открытым портам своими сканерами. Зачем рисковать там, где можно совсем обходиться без риска? Меняйте стандартные пароли на свои для всех устройств, так или иначе подключённых к Интернету!


Мегаконкурс в апреле "Приведи друзей на codeby". Дарим деньги, подписку на журнал хакер и выдаем статус "Paid Access". Подробнее ...

Похожие темы

Как воруют пароли от почты За последние дни в новостях рассказали, что в Интернете выложили логины и пароли от миллионов почтовых ящиков почты Гугла (Gmail), почты Яндекса и п...
Брутфорсинг веб-сайтов с Hydra (часть вторая инстр... Первая часть здесь: «THC-Hydra: очень быстрый взломщик сетевого входа в систему». Рекомендуется начать знакомство именно с неё, т. ...
Защита с помощью пароля в Linux: файл /etc/shadow... Защита с помощью пароля на Linux Использование файла /etc/shadow Пароль в Linux системах, используемый для учётных записей, обычно доступен ...
Как сбросить пароль root’а в Kali Linux... Пароль root в Kali Linux Как правило, пароль мы задаём сами при установке системы. Бывают исключения — например, при прожиге на флешку liv...
ZMap или Как просканировать все IPv4 адреса мира з... ZMap — это быстрый сканер сети, созданный для исследования обширных подсетей Интернета. На обычном настольном компьютере с гигабитным каналом,...