Перейти к содержанию

Ботнет из маршрутизаторов TP-Link годами использовался для рассылки дешевых SMS

Материал из Викиновостей, свободного источника новостей

9 октября 2021 года

Специалисты ИБ-компаний Acronis и Search-Lab Роберт Нойманн (Robert Neumann) и Сергей Эбрхарт (Gergely Eberhardt) раскрыли подробности о крупном подпольном сервисе SMS-рассылок, работавшем на основе бот-сети из тысяч взломанных маршрутизаторов TP-Link MR6400 со встроенной возможностью отправлять SMS-сообщения.

По меньшей мере с 2016 года взломанные мартшрутизаторы использовались для рассылки сообщений со ставками, кодами верификации, подтверждениями online-платежей или пожертвований или отправки загадочных сообщений, которые экспертам пока не удалось расшифровать.

В интервью изданию The Record Нойманн рассказал, что заинтересовался проблемой после того, как ему в руки попал зараженный маршрутизатор с поддержкой 4G, «преподнесший» своему владельцу огромный телефонный счет, львиную долю в котором составляла плата за исходящие SMS-сообщения, отправленные с SIM-карты на устройстве.

Как удалось выяснить, хакеры скомпрометировали маршрутизаторы, воспользовавшись обнаруженной в 2015 году уязвимостью (CVE-2015-3035), позволяющей без авторизации получить доступ к файлам на устройствах TP-Link. Нойман смог воспроизвести эксплоит, использующий CVE-2015-3035, для доступа к одной из LTE-функций маршрутизатора, служащей для «отправки сообщений, чтения входящих и исходящих SMS-цепочек, сбора информации о SIM-карте и модификации LAN и часовых настроек».

Хотя уязвимость была исправлена в версиях прошивок TP-Link, выпущенных после 2015 года, многие маршрутизаторы и по сей день остаются уязвимыми.

Нойманну не удалось идентифицировать создателей ботнета, как и обнаружить рекламу подпольного SMS-сервиса, однако разнообразие SMS-рассылок говорит о наличии широкой клиентской базы.

По словам экспертов, ботнет все еще работает, но с 2018 года его активность значительно снизилась.

«Отсутствие интереса у киберпреступников, обновление прошивки устройства до исправленной версии, переход на новую уязвимую модель с более высокой рыночной долей или блокировка [функций отправки SMS] на SIM-карте – все это может способствовать снижению активности», - отметил Нойманн.

Источники

[править]
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.