信息安全公司Incapsula提醒稱目前或有數十萬甚至上百萬臺的SOHO族專用路由器已成為僵尸路由器,被黑客用來執行大規模的分散式阻斷服務(DDoS)攻擊,而且操控這些僵尸路由器的黑客集團還不只一家。
僵尸路由器及C&C中心的全球分布圖
Incapsula從去年12月開始協助客戶處理各種DDoS攻擊事件,并維護旗下60個網域的安全。最近一個月以來黑客的攻擊規模在大幅擴增,用來攻擊的IP數量增加了一倍。Incapsula展開進一步調查之后發現這波攻擊行動鎖定了數百個網域,Incapsula只是其中一個受害者,而且攻擊目標從應用層升級到網路層。遭受黑客操縱、用來發動DDoS攻擊的僵尸網路是由大量的SOHO路由器所組成,特別是基于ARM架構的Ubiquiti設備。
Incapsula原以為是Ubiquiti設備上的固件漏洞所造成,之后則發現Ubiquiti設備允許任何遠端使用者通過HTTP與SSH存取,而且絕大多數都采用預設的帳號與密碼。在門戶大開的情況下,所有被黑的路由器都被植入了MrBlack惡意程序的各式變種,每臺路由器平均含有4個MrBlack變種,以及其他的惡意程序文件。這些惡意程序主要為DDoS工具,也有少數是屬后門程序。
在為期111天的調查中,Incapsula找到超過4萬個不重覆攻擊IP,其中有64%位于泰國,21%位于巴西,并牽涉到全球109個國家與1600家的ISP相關公司,而且這些攻擊IP連結了60個命令與控制(C&C)系統。
Incapsula分析,從攻擊目標與模式來看,這些路由器顯然由許多不同的集團及個人所掌控,由于這些設備太容易攻陷,預期還會有其他黑客集團加入,在調查期間也看到了黑客仍繼續在已遭攻擊的路由器上植入新的惡意程序。
Incapsula已聯系受到影響的路由器相關公司與ISP相關公司,同時強烈建議路由器用戶關閉所有自遠端存取管理界面的功能,以及變更路由器的登入憑證。
京公網安備 11010502049343號