گروه هکر Lizard Squad در یکbotnet جدید متشکل از روترهایUbiquiti هک شده دست دارد.
به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از پاپسا، یک شرکت امنیتی دریافته است که هکرها درحال دستبرد زدن به روترهای اینترنت خانگی و بنگاه های کوچک هستند تا آنها را به یک botnet عظیم بدل کرده و بتوانند از آنها برای ارتکاب حملات رد سرویس توزیع شده(DDoS)بر علیه اهدافشان استفاده کنند.
از دسامبر2014 تا آوریل 2015، Incapsula (شرکت حفاظت دربرابرDDoS)،حملاتDDoS را از 40269 آی پی آدرس متعلق به 1600 تامین کننده سرویس اینترنت در سراسر جهان برعلیه حوزه-های تحت حفاظت این شرکت کشف کرد.
تمامی حملات از طریق روترهایUbiquiti هک شده صورت گرفته اند از60 سیستم فرماندهی و کنترل برای هدایت و غرقه سازی اهداف مشخص با ترافیک سنگین،برای آفلاین کردن دامنه های وب،استفاده میکنند.
بیش از 85% روترهای هک شده(نفوذ شده)متعلق به تایلند و برزیل است و بقیه(107 روتر دیگر)به کشورهایی همچون ایالات متحده و هندوستان تعلق دارند.
کلمه عبور پیش فرض روی روتر را تغییر دهید
متاسفانه زمانی که یک کاربر برای اتصال به اینترنت،یک روتر اینترنتی را در منزل یا محل کار نصب می کند،همزمان با فعال شدن اینترنت،جزئیات login ارائه شده توسط سازنده روتر را تغییر نمی دهد.
این یک اشتباه بسیار بزرگ است،همانطوریکه Incapusula دریافته است که تقریباً تمامی روترهای مورد حمله قرار گرفته،آلوده به بدافزاری هستند که میتواند کلمه¬عبور و نام کاربری تعیین شده توسط سازنده روتر را دور بزند.
سهولت هک کردن روترها به این معنی است که هکرها بسادگی می توانند روترهای بیشتری را اضافه کنند تنها کاری که باید انجام دهند جستجو برای روترهای بیشتری است که بدرستی پیکربندی نشده اند یا از جزئیاتlogin روتر پیش فرض استفاده می¬کنند و درنتیجه ارتش botnet زامبی آنها بزرگتر خواهد شد.
Ofer Gayer, Ronen Atias, Igal Zeifman از Incapsula در یک پست بلاگ نوشت: «آنالیز ما نشان می دهد که این افراد از منابع botnet شان برای اسکن روترهای بیشتر و اضافه کردن آنها به مجموعه خود استفاده می¬کنند»
« تمامی این روترهای ناامن در همسایگی هایIP ،ISPهای خاصی قرار دارند که انبوه کاربران را دراختیار آنها قرار داده و درنتیجه نفوذ را تسهیل می نماید.برای کسانی که مرتکب این نفوذ می-شوند،این عمل شبیه به شلیک به یک ماهی در یک بشکه است که باعث می شود اسکن ها بطور مؤثری انجام شوند»
آیا Lizard Squad در پشت پرده اینbotnet حضور دارد؟
محققین همچنین اذعان داشتند که این botnet از بسیاری جنبه ها شبیه به Lizard Stresser است. Lizard Stresser سرویسDDoS اجاره ای است که هکرهای Lizard Squad از همان ابتدا آن را به خدمت گرفته اند.
Incapsula اظهار داشت: «ما شدیداً توصیه می کنیم که صاحبان روتر، اعتبارنامه هایlogin پیش فرض را تغییر دهند(اگر تا به این زمان تغییر نداده اند)».
محققین نوشتند «بطور قابل ملاحظه ای حمله به کلاینت های ما در 30 دسامبر آغاز شده یعنی تقریباً همان زمانی که Lizard Stresser اولین بار اعلان شد.از آن به بعد، پس از مشاهده تعدد حملات در ژانویه2015، شاهد خط مستقیم حمله در فوریه بودیم یعنی درست،یک یا چند هفته بعد از این که وب سایت Lizard Stresser از کار افتاد»
«درنهایت،شاهد آن بودیم که حملات در اوایل آوریل شدت گرفتند و چند روز قبل از ظهور مجدد Lizard Squad در تویتر با وعده یکBotnet جدیدتر وقدرتمندتر،به بالاترین حد خود رسید».
محققین درباره روترهای درمعرض خطر بهUbiquiti (فروشنده روتر)هشدار داده و به تمامی کاربران توصیه می کنند که کلمات عبور پیش فرض را در روترهای اینترنتی تغییر دهند.