殭屍路由器及C&C中心的全球分布圖。

資安業者Incapsula指出,可能有數十萬甚至上百萬台的SOHO(Small Office / Home Office)族專用路由器已成為殭屍路由器,被駭客用來執行大規模的分散式阻斷服務(DDoS)攻擊,而且操控這些殭屍路由器的駭客集團還不只一家。

Incapsula自去年12月開始協助客戶處理各種DDoS攻擊事件,並維護旗下60個網域的安全。不料駭客的攻擊規模在最近一個月大幅擴增,用來攻擊的IP數量增加了一倍,這事引發了Incapsula的好奇,展開進一步調查之後才發現這波攻擊行動鎖定了數百個網域,Incapsula只是其中一個受害者,而且攻擊目標從應用層升級到網路層。

此外,此一遭受駭客操縱、用來發動DDoS攻擊的殭屍網路是由大量的SOHO路由器所組成,特別是基於ARM架構的Ubiquiti裝置。

Incapsula原本以為是Ubiquiti裝置上的韌體漏洞所造成,之後則發現Ubiquiti裝置允許任何遠端使用者藉由HTTP與SSH存取,而且絕大多數都採用預設的帳號與密碼。在門戶大開的情況下,所有被駭的路由器都被植入了MrBlack惡意程式的各式變種,每台路由器平均含有4個MrBlack變種,以及其他的惡意程式檔案。這些惡意程式主要為DDoS工具,也有少數是屬後門程式。

在為期111天的調查中,Incapsula找到超過4萬個不重覆攻擊IP,其中有64%位於泰國,21%位於巴西,並牽涉到全球109個國家與1600家的ISP業者,而且這些攻擊IP連結了60個命令與控制(C&C)系統。

Incapsula分析,從攻擊目標與模式來看,這些路由器顯然由許多不同的集團及個人所掌控,由於這些裝置太容易攻陷,預期還會有其他駭客集團加入,在調查期間也看到了駭客仍繼續在已遭駭的路由器上植入新的惡意程式。

Incapsula已聯繫受到影響的路由器業者與ISP業者,同時強烈建議路由器用戶關閉所有自遠端存取管理介面的功能,以及變更路由器的登入憑證。(編譯/陳曉莉)

熱門新聞

Advertisement