ИБ-эксперт компании NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил онлайн десятки тысяч скомпрометированных устройств MikroTik и Ubiquiti, имена хоста в которых изменены на предупреждающие надписи "HACKED FTP server" (взломанный FTP-сервер), "HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED" (взломанный роутер, помогите, SOS, заражен червем MF WORM) и "HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD" (взломанный роутер, помогите, SOS, установлен пароль по умолчанию).
По данным Bleeping Computer, речь, по всей видимости, идет не о массовом взломе, а о чьей-то проделке, целью которой, вероятно, было предупредить неосторожных пользователей об уязвимости устройств и подтолкнуть принять меры для их защиты.
В интервью интернет-порталу Анкит Анубхав сообщил, что заметил скомпрометированные устройства еще в июле 2017 года. Тогда специалист обнаружил более 36 тысяч устройств Ubiquiti с подобными экзотическими именами хоста, а к концу года их число перевалило за 40 тысяч.
Издание отмечает, что такие же надписи после себя в 2016 году оставлял червь, атаковавший сетевое оборудование Ubiquiti с уязвимой прошивкой и менявший логин и пароль на нецензурное английское ругательство "mother" и "fucker". В случае успешной атаки вредоносная программа сканировала сеть в поисках других целей, а затем сбрасывала настройки заражённого устройства и удаляла следы своего пребывания, оставляя матершину вместо логина с паролем.
Обозреватели добавили, что в недавних случаях компрометации устройств Ubiquiti пароли остались нетронутыми, поменялись только имена хоста.
Помимо устройств Ubiquiti, в ходе своего исследования Анкит Анубхав обнаружил онлайн еще и более 7,3 тысячи скомпрометированных роутеров MikroTik. Как недавно выяснилось, жертвами неизвестных интернет-пранкеров стали устройства с логинами и паролями по умолчанию или вовсе без таковых.
"Похоже, кто-то написал скрипт, который находит незащищенные устройства и меняет в них имя пользователя. В оборудовании MikroTik на базе RouterOS по умолчанию установлены пароль и брандмауэр, однако многие по неизвестным нам причинам удаляют их", - сообщил Bleeping Computer представитель MikroTik.
Пользуясь таким скриптом, можно было натворить немало бед, но к счастью для пользователей, шутники ограничились лишь тем, что заменили имя хоста FTP-сервера на роутерах надписью "HACKED FTP server".
