12/05/25
ФБР опубликовало предупреждение о новой волне атак, нацеленных на модели маршрутизаторов, давно снятых с поддержки и не получающих обновлений безопасности.
Главная цель злоумышленников — встроить такие устройства в ботнет. В этой схеме заражённые роутеры становятся посредниками для проксирования интернет-трафика — это позволяет скрывать реальное местоположение киберпреступников, маскируя их действия под легитимную сетевую активность. Арендаторы таких прокси активно используют их для взлома, фишинга, кражи криптовалют и проведения атак по заказу, пишут в Securitylab.
Особую опасность представляют модели маршрутизаторов от Linksys и Cisco, включая Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, а также старые версии серии WRT — WRT320N, WRT310N, WRT610N. Также среди уязвимых оказались Cradlepoint E100 и Cisco M10. Все они давно признаны устаревшими и не получают обновлений прошивки.
ФБР подчёркивает, что для взлома используются публично доступные эксплойты, позволяющие внедрять в устройство устойчивое вредоносное ПО. В новых атаках злоумышленники используют обновлённую версию вредоноса TheMoon — известного ботнета, нацеленного именно на роутеры. Попав на устройство, TheMoon подключает его к управляющему серверу (C2), откуда поступают команды на дальнейшее распространение, сканирование уязвимых систем и создание новых прокси-точек.
Отдельно отмечено, что злоумышленники, поддерживаемые государством, в том числе китайские хакеры, уже применяют этот подход для шпионажа и атак на критически важную инфраструктуру в США. Это добавляет проблем — устройства, оставленные без внимания, становятся точкой входа в стратегические объекты.
Признаки того, что маршрутизатор уже стал частью ботнета, включают нестабильность соединения, перегрев, тормоза в работе, изменения конфигурации, появление новых администраторских аккаунтов и аномальный сетевой трафик. Особенно рискуют пользователи, у которых включено удалённое администрирование.
