ФБР предупреждава: ако използвате стар TP-Link рутер, трябва да го смените

Ако не сте обръщали внимание на домашния си рутер от деня, в който сте го включили, сега е добър момент да го направите. ФБР и NSA предупредиха за киберкампания, при която група, свързвана с руското военно разузнаване, е компрометирала стари домашни рутери.

Според американските агенции атаките се свързват с APT28, известна още като Fancy Bear, Forest Blizzard и други имена. Това е група, която от години се асоциира с операции срещу правителствени, корпоративни и инфраструктурни цели. В конкретния случай фокусът е бил върху т.нар. SOHO рутери – устройства, използвани в малки офиси и домашни мрежи.

Американските власти дори са предприели необичайна мярка – след съдебно разрешение ФБР е рестартирало дистанционно хиляди засегнати устройства в САЩ. Това обаче не означава, че проблемът е решен. Причината е проста: ако рутерът вече не получава обновления за сигурност, той остава уязвим и може отново да бъде компрометиран.

При атаката хакерите са променяли DNS настройките на рутерите. Така те могат да пренасочват или наблюдават част от трафика и да получат достъп до чувствителна информация като данни за вход, токени за автентикация и комуникация, която не е достатъчно добре защитена. Подобен тип атака е особено опасна, защото рутерът стои между всички устройства в мрежата и интернет.

Добрата новина е, че масовият домашен потребител вероятно не е директно засегнат, особено ако използва по-нов рутер, който все още получава актуализации. Въпреки това някои от посочените модели са се използвали и като обикновени домашни рутери, така че проверката е препоръчителна.

Кои рутери са засегнати?

ФБР конкретно посочва TP-Link TL-WR841N – стар Wi-Fi 4 модел, който първоначално излиза още през 2007 г. Британският Национален център за киберсигурност посочва и по-широк списък с модели на TP-Link, които са били таргетирани. Сред тях са Archer C5, Archer C7, WDR3600, WDR4300, WR740N, WR841N, WR842N, WR1043ND и други по-стари устройства. Пълния списък на засегнатите устройства вижте тук.

От TP-Link посочват, че засегнатите модели са достигнали края на своя жизнен цикъл преди години. Това означава, че те вече не са част от стандартната поддръжка на компанията. За някои по-стари модели може да има отделни пачове, но основната препоръка остава ясна – ако използвате такъв рутер, най-добре е да го замените с нов.

Това е важно и за българските потребители. Подобни модели на TP-Link са били масово достъпни и у нас, често като бюджетни решения за дома, малък офис, квартира, вила или втори имот. Ако рутерът е купуван преди много години и не сте обновявали firmware-а му, има реален риск той вече да не получава никакви поправки за сигурност.

Какво може да направите?

Първо, проверете точния модел на рутера. Обикновено той е изписан върху стикер отдолу или отзад на устройството. След това влезте в административния панел или мобилното приложение на производителя и вижте дали има наличен firmware ъпдейт. Ако устройството няма обновления от години, по-разумното решение е подмяна.

Добра практика е да включите автоматичните актуализации, ако рутерът ви предлага такава опция. Също така трябва да смените фабричните потребителско име и парола за администратора. Това не е същата парола като тази за Wi-Fi мрежата. Администраторската парола дава достъп до настройките на самия рутер и ако тя е оставена по подразбиране, рискът е значително по-голям.

Препоръчително е и да изключите remote management функцията, освен ако наистина не ви трябва. Повечето домашни потребители нямат нужда да управляват рутера си от разстояние, а именно подобни функции често се използват при атаки.

NSA препоръчва и редовно рестартиране на рутера, смартфоните и компютрите, например веднъж седмично. Това не е пълна защита, но може да помогне срещу част от временните зловредни компоненти. За хора, които работят дистанционно и достъпват чувствителни служебни системи, ФБР препоръчва използването на VPN.

Най-важният извод е, че рутерът не трябва да се възприема като устройство, което се купува веднъж и се забравя за десетилетие. Той е входната точка към домашната или офис мрежата. Ако вече не получава обновления, дори да работи нормално на пръв поглед, може да се превърне в сериозен риск за всички свързани устройства.

Източник: CNET