По данным исследователей «Лаборатории Касперского», кибершпионские группы все чаще используют взломанные маршрутизаторы во время кибератак. Об этом заявил Костин Райю, руководитель глобального центра исследований и анализа угроз.
«Этот подход не является каким-то новшеством, просто он вышел на пик использования. Мы наблюдали множество атак маршрутизаторов на протяжении многих лет. Очень хорошим примером является SYNful Knock, атакующий роутеры Cisco. Такие методы используют группировки вроде Regin и CloudAtlas», — объясняет господин Райю.
Количество киберпреступных групп, использующих роутеры для атак, неуклонно растет с прошлого года. Про одну из таких групп — Slingshot — мы писали в марте, эти злоумышленники использовали уязвимые маршрутизаторы MikroTik. Предположительно, Slingshot связана с армией США.
Другие преступники, Inception Framework, взламывали маршрутизаторы, создавая сеть прокси-серверов. Они использовали атаку, известную как UPnProxy.
Все это общеизвестные примеры, тем не менее, существует также много инцидентов, которые не были известны широкой публике. Райю рассказывает об одном:
«Основываясь на своих наблюдениях, мы выделили киберпреступную группу LuckyMouse, которая обеспечивала хостинг своих командных центров C&C, что является редкой практикой среди злоумышленников. Мы считаем, что им удалось взломать маршрутизатор с помощью уязвимости SMB, это позволило им загрузить свои скрипты CGI».
LuckyMouse представляет собой принципиально новую киберугрозу, которая ранее не детализировалась ни в одном из отчетов.
