Кіберзлочинці активно атакують застарілі маршрутизатори, перетворюючи їх на знаряддя для анонімних злочинів. Ваш пристрій може бути під загрозою, навіть якщо ви цього не помічаєте.
Масштабна кіберзагроза для домашніх мереж
Федеральне бюро розслідувань США оприлюднило тривожне попередження для власників старих інтернет-маршрутизаторів. Згідно з повідомленням, випущеним 7 травня 2025 року, пристрої, які досягли "кінця життєвого циклу" (EOL) і більше не отримують оновлень безпеки від виробників, стали мішенню для хакерів.
Особливу небезпеку становить шкідливе програмне забезпечення TheMoon, яке використовує вразливості в застарілих роутерах. Цей шкідливий код, вперше виявлений у 2014 році, еволюціонував і тепер здатний сканувати відкриті порти та встановлюватися без паролів.
"Кіберзлочинці перетворюють скомпрометовані пристрої на проксі-сервери, які потім продають через мережі 5Socks та Anyproxy," – пояснює ФБР у своєму бюлетені. Такі проксі дозволяють зловмисникам приховувати свою особу та місцезнаходження під час здійснення протиправних дій.
Список вразливих пристроїв
ФБР визначило 13 моделей маршрутизаторів, які найчастіше стають жертвами атак:
- Linksys E1200;
- Linksys E2500;
- Linksys E1000;
- Linksys E4200;
- Linksys E1500;
- Linksys E300;
- Linksys E3200;
- Linksys WRT320N;
- Linksys E1550;
- Linksys WRT610N;
- Linksys WRT310N;
- Cradlepoint E100;
- Cisco M10.
Більшість цих пристроїв були популярними домашніми маршрутизаторами у 2000-х та 2010-х роках. Якщо ви все ще користуєтеся одним із них, ваша мережа може бути вже скомпрометована.
Як працює кіберзагроза
Вразливість цих пристроїв пов'язана з функцією віддаленого адміністрування, яка встановлена за замовчуванням. Хакери навчилися обходити навіть захищені паролем налаштування, отримуючи доступ до командної оболонки роутера.
Після зараження маршрутизатор підключається до командно-контрольних серверів, звідки отримує інструкції. Ці команди можуть включати сканування інтернету для пошуку інших вразливих пристроїв, розширюючи таким чином ботнет.
"Скомпрометовані пристрої використовуються для приховування слідів під час крадіжки криптовалюти, кіберзлочинів на замовлення та інших незаконних операцій," – зазначає ФБР.
Особливо тривожним є те, що китайські державні хакери також експлуатують ці вразливості для проведення шпигунських кампаній, зокрема проти критичної інфраструктури.
Ознаки зараження та захисні заходи
Виявити зараження маршрутизатора може бути складно, оскільки шкідливе програмне забезпечення діє на рівні пристрою. Проте існують певні ознаки, на які варто звернути увагу:
- Перебої у підключенні до мережі;
- Перегрівання пристрою;
- Зниження продуктивності;
- Незрозумілі зміни в налаштуваннях;
- Поява невідомих облікових записів адміністратора;
- Незвичний мережевий трафік.
Найкращим рішенням, за рекомендацією ФБР, є заміна застарілого маршрутизатора на новішу модель, яка все ще підтримується виробником. Якщо це неможливо, слід вжити таких заходів:
- Вимкнути функцію віддаленого адміністрування;
- Перезавантажити пристрій для видалення шкідливого ПЗ з оперативної пам'яті;
- Встановити найновішу доступну прошивку;
- Змінити облікові дані адміністратора на надійні паролі.
Також ФБР оприлюднило список файлів, які пов’язані з даною хакерською атакою:
Проблема застарілого обладнання
Експерти з кібербезпеки відзначають, що проблема застарілого мережевого обладнання стає все гострішою. За даними підрозділу Cisco Systems з питань загроз Talos, у 2024 році дві з трьох найпоширеніших вразливостей, які намагалися експлуатувати зловмисники, були в пристроях з вичерпаним життєвим циклом.
"Кінець життєвого циклу роутерів та подібного обладнання – це величезна проблема," – коментує Йоганнес Ульріх, декан з досліджень Інституту технологій SANS. "Наші датчики-приманки фіксують сотні атак щодня лише на одну вразливість Netgear, якій близько 10 років."
Проблема ускладнюється тим, що користувачі часто не знають, що їхні маршрутизатори застаріли та вразливі. Виробники рідко чітко повідомляють, коли пристрій втрачає підтримку.
Глобальні наслідки
Наслідки використання застарілих маршрутизаторів виходять далеко за межі індивідуальної безпеки. Скомпрометовані пристрої об'єднуються в ботнети, які можуть використовуватися для масштабних DDoS-атак, розповсюдження шкідливого ПЗ та інших зловмисних дій.
Девід Шиплі з компанії Beauceron Security попереджає: "Якщо бізнес використовує один із цих роутерів, він наражає свою інфраструктуру на атаки. Найімовірніше, це будуть малі підприємства без брандмауера, що може призвести до таких загроз, як програми-вимагачі."
Експерти рекомендують встановити щомісячне нагадування для перевірки наявності оновлень для мережевих пристроїв. При купівлі нового обладнання варто з'ясувати дату закінчення його підтримки та записати її безпосередньо на пристрої.
Джерело: USA Today
