Хакери атакують сайти на базі WordPress за допомогою маршрутизаторів

Експерти компанії WordFence виявили шкідливу інтернет-кампанію, в ході якої хакери зламують слабо захищені домашні маршрутизатори.

Зловмисники використовують скомпрометовані пристрої для здійснення брутфорс-атак на панелі адміністрування сайтів під управлінням WordPress. Таким чином кіберзлочинці намагаються обчислити враховані дані адміністраторів і отримати контроль над ресурсами.

У подібних атаках маршрутизатори грають ключову роль, оскільки дозволяють здійснювати брутфорс-атаки з тисяч різних IP-адрес в обхід міжмережевих екранів і їхніх чорних списків.

Зловмисники отримують контроль над пристроями, експлуатуючи дві уразливості в протоколі TR-069 шляхом відправки шкідливих запитів через порт 7547. З метою не привертати уваги до атак, з кожного маршрутизатора здійснюється тільки кілька спроб зламати пароль.

Розмір ботнету поки невідомий. Експерти також не виключають існування кількох подібних бот-мереж. За даними дослідників, 6,7% всіх атак на сайти під управлінням WordPress в березні 2017 року припало на маршрутизатори з відкритим портом 7547.

В ході атак були задіяні мережі 28 інтернет-провайдерів по всьому світу. Серед клієнтів 14 з них з великою популярністю використовують маршрутизатори з відкритим портом 7547, зокрема ZyXEL ZyWALL 2.

В кінці минулого року зловмисник намагався зламати близько 1 млн пристроїв в мережах інтернет-провайдерів в Німеччині і Великобританії. Більшість атакованих маршрутизаторів були ZyXEL. Хакер мав намір підключити зламані пристрої до ботнету Mirai, орендованому для здійснення DDoS-атак.