Атака на роутеры TP-Link: что она говорит о безопасности DNS

60% мировых роутеров под угрозой? Атака на TP-Link обнажает уязвимости DNS-безопасности

В последнее время в сфере IT-безопасности не утихают разговоры. Причиной стала новость о масштабной хакерской атаке, предположительно совершенной Главным разведывательным управлением (ГРУ) России на маршрутизаторы TP-Link по всему миру. Согласно официальным заявлениям американских спецслужб и ФБР, злоумышленники использовали уязвимости роутеров для создания огромного ботнета и его использования в разведывательных целях.

TP-Link, к слову, является гигантом, занимающим более 60% мирового рынка маршрутизаторов. Неудивительно, что за этой компанией давно тянутся шлейфы конспирологических теорий, вроде «компания с китайским капиталом, значит, там есть бэкдоры» или «при желании они могут шпионить за всем миром».

Конечно, я не верю во все эти кинематографические теории заговора. Причина происходящего ясна и без них. Как хакеры предпочитают атаковать Windows, а не тратить силы на создание вирусов для малораспространенных дистрибутивов Linux, так и для взломщиков роутеров гораздо выгоднее сосредоточиться на уязвимостях самого продаваемого TP-Link. Проще говоря, это просто «крупная мишень», которую легко атаковать.

Суть атаки: DNS-перехват (Hijacking)

Метод, использованный хакерами в этом инциденте, был классическим, но крайне разрушительным: «DNS-перехват» (DNS Hijacking). Через уязвимости TP-Link они получили административные права на тысячи и десятки тысяч роутеров, а затем изменили настроенные DNS-адреса на поддельные DNS-серверы, заранее подготовленные злоумышленниками.

Пользователи, как обычно, заходили на Google или YouTube, но на самом деле их трафик проходил через серверы хакеров. В процессе этого были похищены введенные ими логины, пароли и даже сессионные токены. Это все равно что отдать ключи от собственного дома в руки злоумышленников.

💡 Что такое DNS (Domain Name System)?
Проще говоря, это «телефонная книга» интернета. Когда мы вводим в веб-браузере текст вроде google.com, компьютер не понимает его напрямую. Поэтому он обращается к DNS-серверу с вопросом «Какой адрес у Google?» и получает числовой IP-адрес, например, 142.250.xxx.xxx.

А что, если эту «телефонную книгу» подделал хакер? Если вы попросите найти «мой дом», а хакер укажет адрес «дома вора», вы без подозрений войдете туда.

Реакция ФБР: хакинг в ответ на хакинг?

Интересен подход ФБР США. Они объявили, что с разрешения суда использовали так называемые «передовые технологии» и «специальные команды» для восстановления настроек маршрутизаторов пострадавших.

Хотя они и назвали это «восстановлением», по сути, это означает, что ФБР также несанкционированно проникло (взломало) в маршрутизаторы пользователей, используя уязвимости TP-Link, и изменило их настройки. Получается, что под видом государственного органа была проведена законная «обратная хакерская атака», что, безусловно, выглядит весьма странно.

Ваш роутер в безопасности?

Проблема возникает в таких странах, как Южная Корея или Япония. Правительственные учреждения этих стран, чувствительные к вопросам конфиденциальности и прав доступа, вряд ли «любезно» войдут в ваш маршрутизатор и изменят настройки, как это сделало ФБР. Более того, под вопросом и наличие у них таких возможностей или систем.

В конечном итоге, полагаться приходится только на себя. Если вы не живете в США, вам, читающему эту статью, необходимо самостоятельно зайти в панель администратора роутера и проверить его состояние. Неважно, TP-Link это или нет. Проверьте прямо сейчас.

Три немедленных шага

1. Проверьте настройки DNS-сервера: Зайдите на страницу администратора маршрутизатора и проверьте DNS-адреса. Если там указан незнакомый IP-адрес, который вы не устанавливали, немедленно исправьте его. Если не знаете, что поставить, просто используйте общедоступные DNS-серверы, указанные ниже. Это самый простой вариант.

   • Cloudflare: 1.1.1.1
   • Google: 8.8.8.8

2. Обновление прошивки (обязательно): Раз уж вы вошли в режим администратора, нажмите кнопку обновления прошивки. Последние патчи, выпускаемые производителем, — это единственный способ закрыть уязвимости в вашем маршрутизаторе. Вероятно, раньше вы не обращали на это внимания, но сейчас самое время обновить прошивку роутера.

3. Смена пароля (основа основ): Уверен, что у некоторых административный пароль до сих пор admin или вообще не установлен. Это все равно что оставить дверь открытой и надеяться, что вор не придет. Пожалуйста, установите пароль в первую очередь.

Заключение

Хакерство — это не сюжет из фильма. В тот момент, когда у вас есть устройство, подключенное к интернету, вы становитесь мишенью 24 часа в сутки. Маршрутизатор, в частности, является «воротами», через которые проходит весь трафик вашего дома.

Нет ничего глупее, чем винить компании или государство в утечке личных данных, если вы сами не соблюдаете элементарные правила безопасности. Я считаю, что ключи от своих входных дверей мы должны держать в собственных руках. Хотелось бы, чтобы больше людей интересовались хакерством и безопасностью. Тогда и компании, стремящиеся к прибыли, будут вынуждены тратить средства на безопасность, опасаясь потребителей, и в итоге все мы получим безопасные услуги, не так ли?