«Протоколы, которые позволяют серым адресам выходить в интернет, десятилетиями использовались для накрутки трафика и рассылки спама. Но сегодня это превратилось в полноценный рынок услуг по аренде транзита и IP-адресов, который активно задействуют кибергруппировки. Логика простая: если хочешь замаскировать источник атаки, используй чужие роутеры.»
Почему старый роутер стал ценным активом
Большинство домашних и офисных маршрутизаторов не предназначены для постоянной публичной доступности. Но ситуация меняется с появлением IPv6 и устаревших конфигураций CGNAT. Ранние модели роутеров, выпущенные в период массового перехода на IPv6, часто имели менее строгие настройки брандмауэра по умолчанию для новой адресации.
Многие провайдеры выдавали абонентам IPv6-префиксы типа /56 или /64. Часть этих префиксов автоматически делегировалась на подключённые устройства через SLAAC или DHCPv6. Старые роутеры, особенно с незапатченным софтом, могли не блокировать входящие соединения на IPv6-адресах этих устройств, создавая широкую поверхность для атак.
Помимо IPv6, остаётся уязвимым механизм UPnP (Universal Plug and Play). Разработанный для упрощения настройки игровых консолей или медиасерверов, он позволяет программам внутри локальной сети автоматически открывать порты на роутере. Уязвимые реализации UPnP на старом оборудовании дают злоумышленникам возможность удалённо пробросить порты и получить доступ к внутренним службам.
Техническая основа: как роутер становится узлом транзита
Стандартный домашний роутер выполняет NAT — преобразование сетевых адресов. Это значит, что устройства внутри локальной сети используют приватные IP-адреса (например, из диапазона 192.168.1.0/24), а наружу выходит один публичный адрес, выданный провайдером. Трафик из интернета не может напрямую обратиться к внутреннему устройству без предварительно открытого порта.
Однако существует несколько механизмов, которые ломают эту модель:
- IPv6 без фильтрации входящих соединений. Каждое устройство в сети получает глобально маршрутизируемый IPv6-адрес. Если брандмауэр роутера не настроен на блокировку входящего трафика на этих адресах, устройство становится доступным напрямую из интернета.
- Уязвимости в реализации UPnP IGD. Злоумышленник может отправить специально сформированный запрос на порт 1900/udp роутера, заставив его открыть определённый порт для любого указанного IP-адреса, включая адрес атакующего извне.
- Задние двери и бэкдоры в прошивке. Некоторые старые прошивки, особенно от малоизвестных OEM-производителей, содержат скрытые сервисы для удалённого управления. Креденшиалы к ним могут быть стандартными или утечь в сеть.
Взломав роутер через одну из этих уязвимостей, атакующий может установить на него SOCKS- или HTTP-прокси, VPN-сервер либо просто настроить правила маршрутизации для перенаправления трафика. Роутер превращается в ретранслятор.
Схемы использования в ботнетах
Одиночный скомпрометированный роутер сам по себе не представляет особой ценности. Его мощность ограничена, а IP-адрес может быть динамическим. Но в массовом масштабе сеть таких устройств становится инфраструктурным ресурсом.
Каскадные прокси и обфускация трафика
Ботнеты часто строятся по многоуровневой архитектуре. Управляющие серверы (C&C) общаются не напрямую с заражёнными ботами, а через цепочку промежуточных узлов — роутеров. Это усложняет обнаружение и блокировку C&C-инфраструктуры.
Трафик атаки, например DDoS-запросы, также может идти через сеть взломанных роутеров. Это делает его источником тысяч разных IP-адресов, что обходит простые системы защиты, основанные на блокировке по IP.
Аренда «чистых» IP-адресов
IP-адрес домашнего роутера часто считается «чистым». Он не фигурирует в публичных спам-листах, чёрных списках или базах данных известных хостингов для атак. Такие адреса высоко ценятся для отправки целевого фишинга, регистрации аккаунтов на платформах или обхода географических ограничений.
Существуют теневые сервисы, продающие доступ к SOCKS5-прокси, расположенным на подобных роутерах. Цена формируется в зависимости от географического расположения устройства, типа подключения (оптика, 4G) и «репутации» его IP-адреса.
Хостинг компонентов зловредного ПО
На некоторых старых роутерах с архитектурой MIPS или ARM можно запустить упрощённый веб-сервер. На него могут быть загружены второстепенные компоненты ботнета: конфигурационные файлы, скрипты для обновления, списки целей для атаки. Это децентрализует инфраструктуру и повышает её живучесть.
Российский контекст и регуляторика
В России проблема устаревшего сетевого оборудования усугубляется несколькими факторами. Во-первых, значительный парк роутеров у абонентов крупных провайдеров состоит из устройств, предоставленных самим оператором связи несколько лет назад. Обновления прошивок для них часто прекращаются спустя пару лет после выпуска.
Во-вторых, требования регуляторов в первую очередь сфокусированы на защите информации, хранимой и обрабатываемой (152-ФЗ), и на объектах КИИ. Домашний роутер как конечное устройство абонента редко попадает в поле зрения требований ФСТЭК.
Однако с позиции информационной безопасности развёрнутый на скомпрометированном роутере прокси-сервер может использоваться для атак на ресурсы, находящиеся в российской юрисдикции. Трафик будет идти с IP-адресов доверенных российских провайдеров, что может задержать или осложнить его блокировку.
Методические рекомендации ФСТЭК по безопасности машинно-ориентированных взаимодействий (M2M) и интернета вещей (IoT) лишь начинают касаться вопросов безопасности шлюзовых устройств. Пока что основная нагрузка по защите лежит на производителях оборудования и операторах связи.
Что можно сделать: практические шаги
Для домашних пользователей и малого бизнеса критически важно не оставлять маршрутизатор в состоянии «как из коробки».
- Обновите прошивку. Проверьте сайт производителя на наличие последней официальной прошивки. Если поддержка устройства прекращена, рассмотрите переход на модель с активной поддержкой или альтернативную прошивку (OpenWrt, DD-WRT), если она доступна для вашей модели и вы уверены в своих силах.
- Отключите UPnP. В интерфейсе управления роутером найдите раздел, связанный с UPnP или «Автоматическим открытием портов», и деактивируйте эту функцию.
- Настройте брандмауэр для IPv6. Убедитесь, что правила фильтрации входящих соединений применяются и к IPv6-интерфейсу. По умолчанию должен быть разрешён только установленный и связанный с ним трафик.
- Смените стандартные учётные данные. Замените логин и пароль по умолчанию для веб-интерфейса и, если возможно, для доступа по SSH/Telnet на сложные и уникальные.
- Ограничьте доступ к интерфейсу управления. Настройте роутер так, чтобы доступ к его настройкам (по 80, 443, 8080 портам) был возможен только с внутренней сети (LAN), а не из интернета (WAN).
- Используйте сканеры уязвимостей. Существуют онлайн-сервисы и программные инструменты, которые могут проверить ваш внешний IP-адрес на наличие открытых портов и известных уязвимостей роутеров.
Для операторов связи и корпоративных сетей стратегия должна быть иной. Внедрение систем обнаружения аномалий сетевого трафика может помочь выявить роутеры, которые неожиданно начинают передавать большие объёмы данных вовне или выступать в роли прокси-серверов.
Заключение
Старый роутер перестал быть просто шлюзом в интернет. В условиях дефицита «чистых» IP-адресов и ужесточения защиты крупных хостингов, скомпрометированные домашние устройства стали важным звеном в инфраструктуре современных ботнетов. Они обеспечивают анонимность, распределяют нагрузку и увеличивают время жизни вредоносной сети.
Проблема носит системный характер и связана с жизненным циклом оборудования, отсутствием ответственности производителей за долгосрочную безопасность и слабым вниманием к безопасности конечных точек со стороны части регуляторов. Пока эти условия сохраняются, рынок теневого трафика через бытовые роутеры будет только расти.