Разом із зростанням інтернету речей та розширенням мережевої інфраструктури, значно зростають і кіберзагрози. Однією з новітніх тенденцій у сфері кіберзлочинності є використання застарілих домашніх або корпоративних маршрутизаторів, термін служби яких вже завершився, як частини проксі-мереж для приховування злочинної діяльності в інтернеті.
Що таке застарілі маршрутизатори?
Застарілими вважаються маршрутизатори, які більше не підтримуються виробником – на них більше не виходять оновлення прошивки, а тому і не усуваються критичні вразливості безпеки. Багато користувачів залишають такі пристрої в експлуатації, не підозрюючи, що вони становлять серйозну загрозу.
Ці пристрої часто не мають базового захисту, як-от надійна автентифікація, шифрування або ізоляція інтерфейсу адміністратора. Через це вони стають легкою мішенню для сканування та атак.
Як використовують застарілі маршрутизатори в проксі-мережах?
Кіберзлочинці застосовують автоматизовані інструменти для виявлення вразливих маршрутизаторів у глобальній мережі. Після виявлення вони проникають у пристрої, змінюють конфігурацію, встановлюють шкідливе ПЗ або створюють SSH/VPN тунелі. Такий зламаний маршрутизатор стає частиною мережі проксі – він ретранслює трафік, з якого потім здійснюються фішингові атаки, крадіжка даних, розсилки спаму або атаки на інші ресурси.
У деяких випадках маршрутизатори включають до бот-мереж, які контролюються через центри управління, дозволяючи кіберзлочинцям миттєво переключатися між тисячами заражених вузлів, змінюючи їхнє географічне розташування.
Популярні схеми:
- Анонімізація трафіку для використання маршрутизатора як проміжної ланки для приховування реального місцезнаходження зловмисника.
- Продаж доступу до зламаних пристроїв на даркнет-форумах для обходу блокування або обмежень у різних країнах.
- Проксі для шкідливих ботів які використовують проксі для розсилки шкідливих програм або участі в DDoS-атаках.
- Шахрайські дії в інтернеті – доступ до банків, пошти, соцмереж.
Поширені ознаки компрометації ботнетом включають збої в підключенні до мережі, повільний інтернет, перегрів, зміни конфігурації, появу шахрайських адміністраторів та підозрілий мережевий трафік.
Як захиститися?
Найкращий спосіб зменшити ризик зараження ботнетом – замінити маршрутизатори, термін служби яких закінчився, на новіші моделі, які активно підтримуються та отримують оновлення. Якщо це неможливо, перевірте чи встановлено останнє оновлення прошивки, змініть облікові дані адміністратора та вимкніть віддалену панель адміністрування.
Загалом потрібно дотримуватися певних правил:
- Регулярно оновлювати прошивку навіть якщо пристрій старий, деякі виробники досить довго випускають оновлення.
- Якщо підтримка завершена, варто поміркувати про купівлю сучасного пристрою.
- Вимкніть функцію віддаленого адміністрування – інтерфейс налаштувань має бути доступним лише з локальної мережі.
- Стандартні облікові записи одразу слід змінити з використанням складних паролів.
- Використовуйте інструменти моніторингу, щоб слідкувати за трафіком та виявляти аномальні з'єднання.
Приклади атак
Ось декілька прикладів реальних кібератак, в яких зловмисники використовували застарілі або вразливі маршрутизатори для створення проксі-мереж:
- У березні 2025 року соціальна мережа X зазнала DDoS-атаки, яка призвела до перебоїв у роботі сервісу. Атака була здійснена через ботнет, що складався з компрометованих пристроїв, включаючи маршрутизатори.
- У січні 2025 року фахівці з кібербезпеки виявили нову модифікацію ботнету Mirai, яка активно експлуатувала вразливості в маршрутизаторах TP-Link та відеореєстраторах DigiEver. Зловмисники використовували ці пристрої для запуску DDoS-атак та для інших шкідливих дій.
- У лютому 2024 року ФБР повідомило про те, що російські хакери, зокрема група APT28 (відомі як Fancy Bear), використовують зламані маршрутизатори Ubiquiti EdgeRouters для проведення кібероперацій проти урядів, військових та організацій по всьому світу, включаючи Україну. Ці маршрутизатори використовуються для створення ботнетів, викрадення облікових даних та розміщення фішингових сторінок.
- У жовтні 2021 року хакери здійснили атаку на сайт аптечного холдингу АНЦ через злам маршрутизатора. Зловмисники заблокували роботу сайту, відключили інтернет в аптеках та вимагали викуп за відновлення роботи. Це призвело до втрати 19% товарообігу компанії.
- У 2018 році СБУ повідомила про виявлення шкідливого програмного забезпечення VPNFilter, яке заражало маршрутизатори та мережеві пристрої. Це ПЗ дозволяло зловмисникам отримувати контроль над пристроями та використовувати їх для проведення кібероперацій.
ФБР попереджає, що нещодавно деякі маршрутизатори після закінчення терміну служби, з увімкненим віддаленим адмініструванням, були виявлені як скомпрометовані новим видом шкідливого програмного забезпечення TheMoon. Це зловмисне програмне забезпечення дозволяє кіберзловмисникам встановлювати проксі-сервери на нічого не підозрюючи маршрутизатори жертв і анонімно проводити кіберзлочини. Наприклад, використовували їх під час крадіжки криптовалюти.
