## 60% мировых роутеров под угрозой? Атака на TP-Link обнажает уязвимости DNS-безопасности {#sec-46769953978b} В последнее время в сфере IT-безопасности не утихают разговоры. Причиной стала новость о масштабной хакерской атаке, предположительно совершенной Главным разведывательным управлением (ГРУ) России на **маршрутизаторы TP-Link** по всему миру. Согласно официальным заявлениям американских спецслужб и ФБР, злоумышленники использовали уязвимости роутеров для создания огромного ботнета и его использования в разведывательных целях. TP-Link, к слову, является гигантом, занимающим более 60% мирового рынка маршрутизаторов. Неудивительно, что за этой компанией давно тянутся шлейфы конспирологических теорий, вроде «компания с китайским капиталом, значит, там есть бэкдоры» или «при желании они могут шпионить за всем миром». Конечно, я не верю во все эти кинематографические теории заговора. Причина происходящего ясна и без них. Как хакеры предпочитают атаковать Windows, а не тратить силы на создание вирусов для малораспространенных дистрибутивов Linux, так и для взломщиков роутеров гораздо выгоднее сосредоточиться на уязвимостях **самого продаваемого TP-Link**. Проще говоря, это просто «крупная мишень», которую легко атаковать. ![Постер проверки безопасности маршрутизатора](/media/whitedec/blog_img/8ef97ecbc3834622a23cfd7feb2632da.webp) --- ## Суть атаки: DNS-перехват (Hijacking) {#sec-5cef0e7132e4} Метод, использованный хакерами в этом инциденте, был классическим, но крайне разрушительным: **«DNS-перехват» (DNS Hijacking)**. Через уязвимости TP-Link они получили административные права на тысячи и десятки тысяч роутеров, а затем изменили настроенные DNS-адреса на поддельные DNS-серверы, заранее подготовленные злоумышленниками. Пользователи, как обычно, заходили на Google или YouTube, но на самом деле их трафик проходил через серверы хакеров. В процессе этого были похищены введенные ими логины, пароли и даже сессионные токены. Это все равно что отдать ключи от собственного дома в руки злоумышленников. > **💡 Что такое DNS (Domain Name System)?** > Проще говоря, это **«телефонная книга»** интернета. Когда мы вводим в веб-браузере текст вроде `google.com`, компьютер не понимает его напрямую. Поэтому он обращается к DNS-серверу с вопросом «Какой адрес у Google?» и получает числовой IP-адрес, например, `142.250.xxx.xxx`. > > А что, если эту «телефонную книгу» подделал хакер? Если вы попросите найти «мой дом», а хакер укажет адрес «дома вора», вы без подозрений войдете туда. --- ## Реакция ФБР: хакинг в ответ на хакинг? {#sec-ac085e499cc0} Интересен подход ФБР США. Они объявили, что с разрешения суда использовали так называемые **«передовые технологии»** и **«специальные команды»** для восстановления настроек маршрутизаторов пострадавших. Хотя они и назвали это «восстановлением», по сути, это означает, что **ФБР также несанкционированно проникло (взломало) в маршрутизаторы пользователей, используя уязвимости TP-Link, и изменило их настройки**. Получается, что под видом государственного органа была проведена законная «обратная хакерская атака», что, безусловно, выглядит весьма странно. ## Ваш роутер в безопасности? {#sec-e359aa22aff2} Проблема возникает в таких странах, как Южная Корея или Япония. Правительственные учреждения этих стран, чувствительные к вопросам конфиденциальности и прав доступа, вряд ли «любезно» войдут в ваш маршрутизатор и изменят настройки, как это сделало ФБР. Более того, под вопросом и наличие у них таких возможностей или систем. В конечном итоге, полагаться приходится только на **себя**. Если вы не живете в США, вам, читающему эту статью, необходимо самостоятельно зайти в панель администратора роутера и проверить его состояние. Неважно, TP-Link это или нет. Проверьте прямо сейчас. ## Три немедленных шага {#sec-d8e75003c0cd} 1. **Проверьте настройки DNS-сервера:** Зайдите на страницу администратора маршрутизатора и проверьте DNS-адреса. Если там указан незнакомый IP-адрес, который вы не устанавливали, немедленно исправьте его. Если не знаете, что поставить, просто используйте общедоступные DNS-серверы, указанные ниже. Это самый простой вариант. * **Cloudflare:** `1.1.1.1` * **Google:** `8.8.8.8` 2. **Обновление прошивки (обязательно):** Раз уж вы вошли в режим администратора, нажмите кнопку обновления прошивки. Последние патчи, выпускаемые производителем, — это единственный способ закрыть уязвимости в вашем маршрутизаторе. Вероятно, раньше вы не обращали на это внимания, но сейчас самое время обновить прошивку роутера. 3. **Смена пароля (основа основ):** Уверен, что у некоторых административный пароль до сих пор `admin` или вообще не установлен. Это все равно что оставить дверь открытой и надеяться, что вор не придет. Пожалуйста, установите пароль в первую очередь. --- ## Заключение {#sec-c2532ee4dd2d} Хакерство — это не сюжет из фильма. В тот момент, когда у вас есть устройство, подключенное к интернету, вы становитесь мишенью 24 часа в сутки. Маршрутизатор, в частности, является «воротами», через которые проходит весь трафик вашего дома. Нет ничего глупее, чем винить компании или государство в утечке личных данных, если вы сами не соблюдаете элементарные правила безопасности. Я считаю, что ключи от своих входных дверей мы должны держать в собственных руках. Хотелось бы, чтобы больше людей интересовались хакерством и безопасностью. Тогда и компании, стремящиеся к прибыли, будут вынуждены тратить средства на безопасность, опасаясь потребителей, и в итоге все мы получим безопасные услуги, не так ли?