Взломщик Wi-Fi-роутеров

По сообщению компании «Доктор Веб», ее специалисты исследовали вредоносную программу Trojan.Rbrute, предназначенную для взлома паролей Wi-Fi-роутеров методом перебора (brute force), а также подмены адресов DNS-серверов, указанных в настройках этих устройств. Злоумышленники используют эту вредоносную программу для распространения другого троянца, известного под именем Win32.Sector.

Запустившись на инфицированном компьютере, работающем под управлением Windows, Trojan.Rbrute устанавливает соединение с удаленным сервером и ожидает от него команд, в том числе диапазона IP-адресов для выполнения сканирования. Вредоносная программа имеет функционал для подбора паролей к следующим моделям роутеров: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII и некоторым другим.

Фактически троянец способен выполнять две команды: сканирование сети по заданному диапазону IP-адресов и перебор паролей по словарю. Эти команды не взаимосвязаны и могут выполняться троянцем по отдельности. Если по одному из опрошенных IP-адресов обнаруживается работающий роутер, Trojan.Rbrute получает оттуда Web-страницу, определяет модель устройства с использованием тега realm=" и рапортует об этом событии на управляющий сервер.

Троянец также может получить команду на подбор пароля к обнаруженному роутеру по словарю – такое задание содержит все необходимые исходные данные: IP-адрес цели, DNS для подмены и словарь паролей. В качестве логина Trojan.Rbrute использует значения admin или support.

Если аутентификация с подобранным сочетанием логина и пароля прошла успешно, троянец рапортует на удаленный сервер об успешном факте взлома и посылает роутеру запрос на изменение адресов зарегистрированных в его настройках DNS-серверов. В результате при попытке открытия сайтов в окне браузера пользователь может быть перенаправлен на другие ресурсы, специально созданные злоумышленниками. Эту схему киберпреступниками сейчас используют для расширения численности бот-сети, созданной с использованием программы Win32.Sector.

В целом схема, используемая злоумышленниками, выглядит следующим образом. На компьютер, уже инфицированный троянцем Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute. Последний получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов и данные для подбора паролей к ним. В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов. При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками Web-страницу. С этой страницы на компьютер загружается троянец Win32.Sector и инфицирует его. Впоследствии Win32.Sector может загрузить на вновь инфицированный ПК копию троянца Trojan.Rbrute – и цикл повторяется.

Специалисты компании «Доктор Веб» рекомендуют владельцам Wi-Fi-роутеров не использовать настройки по умолчанию и устанавливать в административном интерфейсе роутеров сложные пароли, которые затруднят их взлом методом простого перебора.