Ботнет пять лет взламывал роутеры TP-Link и отправлял с них СМС

Ботнет пять лет взламывал роутеры TP-Link и отправлял с них СМС

Ботнет пять лет взламывал роутеры TP-Link и отправлял с них СМС

Киберпреступники как минимум с 2016 года взламывали маршрутизаторы TP-Link, чтобы объединить эти устройства в ботнет. Встроенная функция отправки СМС-сообщений помогла злоумышленникам организовать сервис по отправке текстовых сообщений (Messaging-as-a-Service).

Фактически пять лет заражённые роутеры вполне спокойно отравляли коды верификации, а также зашифрованные сообщения, до смысла которых ещё только предстоит добраться.

 

О действиях ботнета специалист Acronis Роберт Ньюмэн и сотрудник Search-Lab Гергей Еберхант рассказали вчера на конференции Virus Bulletin 2021. По словам Ньюмэна, он впервые начал наблюдать за ботнетом в мае 2018 года.

Тогда эксперта попросили провести расследование взлома маршрутизаторов, из-за которых владельцам приходили огромные счета за сотовую связь. Львиную долю непонятных расходов составляли СМС-сообщения, для отправки которых использовалась вставленная в устройства СИМ-карта.

Ньюмэн потратил три года на тщательное исследование активности злоумышленников, что привело к открытию ботнета. Для этого потребовалось изучить логи многих жертв и опросить их. В итоге эксперту удалось выяснить, как именно киберпреступники взламывали роутеры. Оказалось, что атакующие задействовали уязвимость, обнаруженную ещё в 2015 году. Она позволяла получить доступ к файлам, хранящимся в маршрутизаторе.

Ньюмэну удалось воспроизвести эксплойт, с помощью которого преступники проникали на устройства. Баг отлично подошёл для того, чтобы получить доступ к LTE-функциям. В итоге специалист смог «отравлять СМС-сообщения, считывать данные из входящих и исходящих посланий и модифицировать настройки времени LAN».

Уязвимыми устройствами оказались маршрутизаторы серии TP-Link MR6400. Несмотря на то что в последних версиях прошивки от этой уязвимости не осталось и следа, тысячи уязвимых роутеров всё ещё спокойно работали. Более того, многие остаются непропатченными и по сей день.

Число кибератак на российскую медицину выросло в 2,7 раза

Медицинские организации в России всё быстрее превращаются в одну из главных целей киберпреступников. По данным RED Security SOC, в первом полугодии 2026 года число атак на отрасль выросло в 2,7 раза по сравнению с тем же периодом прошлого года.

Доля медицины в общем числе отражённых киберугроз подскочила с 6% до 15%. И это не просто больше шума в журналах событий: 38% инцидентов сами организации признали высококритичными. В среднем по российскому рынку этот показатель не превышает 20%.

Чаще всего злоумышленники начинают с внешнего периметра — ищут уязвимые сервисы и системы, доступные из интернета. Дальше сценарий знакомый: кража персональных данных пациентов, запуск шифровальщиков или попытка развалить инфраструктуру учреждения.

Цели тоже вполне понятны. Медицинские базы можно продать, за расшифровку потребовать выкуп, а остановка работы клиники почти гарантирует громкий общественный резонанс.

Проблема в том, что высокий уровень защиты есть в основном у крупнейших организаций. Многие медучреждения по-прежнему ограничиваются базовыми средствами безопасности, хотя работают с критически важными системами и чувствительными данными.

Эксперты советуют регулярно проверять внешний периметр, быстро устанавливать обновления, следить за подозрительной активностью и заранее отрабатывать сценарии восстановления после атак. Отдельный пункт — изолированные резервные копии.

RSS: Новости на портале Anti-Malware.ru