Masz taki router? Nowy sposób hakerów, żeby ukraść twoje dane

W dobie internetu rzeczy (ang. Internet of Things, IoT) połączone z siecią są nie tylko komputery i smartfony, ale także pralki, lodówki, odkurzacze, szczoteczki elektryczne i inne sprzęty RTV i AGD, a także kamery monitoringu, samochody i pojazdy autonomiczne, systemy smart home, smart building czy nawet smart city. Docelowo wszystko ma być ze sobą połączone siecią, a każdy z tych punktów stanowić może cel dla hakerów.

O ile jednak nowoczesne urządzenia są zwykle na bieżąco aktualizowane, o tyle te po zakończeniu okresu wsparcia, wyprodukowane w poprzednich dekadach lub po prostu takie, którymi nie interesuje się producent, mogą mieć niezałatane luki w zabezpieczeniach. A to jak zaproszenie dla cyberprzestępców, którzy wiedzą, jak je zaatakować.

Atakujący korzystają z wielu niekonwencjonalnych metod. Jedną z nich jest wykorzystanie routerów komórkowych IoT od Milesight, używanych powszechnie w systemach zarządzania ruchem, licznikach energii elektrycznej czy urządzeniach przemysłowych korzystających z kart SIM do łączenia się z siecią 3G, 4G lub 5G. Te solidne i wytrzymałe na pierwszy rzut oka routery swoją piętę achillesową mają na poziomie oprogramowania. Oszuści już przynajmniej od 2023 roku wykorzystują tę podatność do prowadzenia ataków phishingowych poprzez SMS.

Wspomniane routery komórkowe mają przestarzałe oprogramowanie układowe (firmware) i brakuje im aktualizacji zabezpieczeń. Tysiące takich urządzeń nadal jest połączonych z internetem. Zostały one zaprojektowane m.in. do monitorowania i automatyzacji. Można uzyskać do nich dostęp poprzez polecenia tekstowe, skrypty Pythona lub interfejsy webowe. Hakerzy upatrzyli je sobie jako łatwy cel.

Jak wynika z raportu firmy Sekoia, narażonych na atak jest ponad 18 tysięcy takich routerów, w tym co najmniej 572 oferuje otwarty dostęp do ich interfejsów API bez uwierzytelniania. Oznacza to, że nie ma tu nawet za bardzo czego łamać. Specjaliści od cyberbezpieczeństwa poprzez swoje honeypoty (pułapki wykrywające nieautoryzowany ruch) zarejestrowali, że hakerzy poprzez te routery prowadzą kampanie phishingowe SMS w Belgii, Szwecji i Włoszech. Wiadomości SMS podszywające się pod usługi rządowe prowadzą do stron internetowych, które kradną dane logowania.

Routery z przestarzałym oprogramowaniem są dla oszustów atrakcyjnym wektorem ataku nie tylko z powodu wręcz otwartych drzwi, ale także ze względu na trudności w wykryciu w porównaniu ze scentralizowanymi serwerami. Przejmowanie takiej infrastruktury pozwala także stosunkowo niskim kosztem wywołać duży efekt - przeprowadzić całą kampanię phishingową SMS.

Część podatności jest jednak łatana. Jedna z nich (CVE-2023-43261), nieaktywna już od 2 lat, pozwalała wykradać pliki z routera poprzez interfejs przeglądarkowy. Atakujący mogli przechwytywać hasła administratora, po prostu czytając zaszyfrowane dane uwierzytelniania przy użyciu kluczy deszyfrujących.

Użytkownicy domowi nie mogą zapobiegać takim atakom, jako że są to najczęściej routery przemysłowe lub publiczne - a nie takie, jakie mamy w domu, najczęściej wypożyczone od dostawcy internetu. Domowy router można i nawet trzeba aktualizować, pobierając dla niego aktualizacje firmware'u. To samo w zasadzie dotyczy wszystkich domowych urządzeń IoT, takich jak inteligentne odkurzacze, pralki, lodówki czy systemy monitoringu.

W przypadku ataków phishingowych jedyne, co nam pozostaje, to nie klikać w dziwne linki, nawet jeśli wydają się pochodzić od zaufanych nadawców - na przykład banków lub instytucji państwowych. A jeśli już nas poniosło i otworzyliśmy stronę, to nie wprowadzajmy na niej naszych prawdziwych danych logowania, danych osobowych, numerów kart płatniczych ani innych tego typu wrażliwych informacji. Można za to wprowadzić fałszywe i sprawdzić, co się stanie - nikt za to nie ściga.