你的路由器正在為境外勢力工作嗎?

為什麼進階駭客會盯上你的家用 Wi-Fi 路由器,以及他們如何長期控制你的裝置。

保護你的路由器,避免成為駭客跳板

最近揭露的一起駭入事件,顯示數千台 ASUS 家用路由器遭到入侵。這讓我們明白,家中的 Wi-Fi 路由器不僅僅是你(以及鄰居)在使用,還是許多網路犯罪組織,甚至是國家級駭客進行間諜行動時的心頭好。這次攻擊疑似與臭名昭著的 APT31 駭客組織有關,而且目前仍在持續中。它之所以危險,是因為手法非常隱蔽,甚至需要特別的方式才能偵測與防範。

了解為什麼駭客盯上你的路由器,是保護自身裝置不被濫用的第一步。

駭客如何利用被入侵的路由器

  1. 住宅代理伺服器(Residential Proxy
    當駭客試圖入侵企業或政府機構時,來自異常 IP 位址的連線會被安全系統偵測出來。舉例來說,一間在台灣的公司,突然有員工從俄羅斯 IP 登入,這非常可疑。為了規避偵測,駭客會先入侵目標地區內的家用路由器,再透過該裝置發起攻擊,看起來就像某位員工從家中登入一樣,毫無異狀。
  2. 指揮與控制伺服器(C&C Server
    駭客可在你家的路由器上放置惡意軟體,讓其他中毒裝置連上來下載,或將蒐集到的資料回傳至此。
  3. 釣魚誘餌(Honeypot
    被入侵的路由器也可以成為「釣魚場」,用來觀察其他駭客團體的攻擊手法。
  4. 挖礦工具
    雖然路由器的運算能力不強,但駭客反正不用付電費與設備費,一點一滴也能賺。
  5. 流量操控工具
    路由器可用來竊聽或竄改你上網過程中的資料,像是竊取密碼、在網頁中插入廣告等。
  6. DDoS 攻擊工具
    路由器、嬰兒監視器、智慧喇叭甚至智慧熱水壺,都能組成一個殭屍網路(botnet),對某個目標網站發動流量攻擊,導致對方癱瘓。

這些利用方式各有不同的駭客族群偏好。挖礦、廣告注入與 DDoS 攻擊通常是金錢導向的犯罪團體幹的,而透過住宅 IP 進行精準攻擊的,多半是勒索軟體集團或政府背景的間諜團隊。美國 CISA 與 FBI 多次針對這種手法發出警告,但駭客們行事低調,大部分用戶壓根不會發現自己的路由器早已被利用。

路由器是怎麼被駭的?

最常見的兩種方式:

  1. 暴力破解登入密碼
    很多使用者懶得改密碼,還保留預設帳號 admin 與簡單密碼(例如 123456)。駭客只要破解密碼,就能像你一樣登入管理後台。
  2. 利用韌體漏洞
    駭客會掃描路由器的品牌與型號,再針對已知漏洞進行攻擊,奪取控制權。

一旦成功入侵,他們就會在裝置中植入隱藏程式執行自己的任務。你可能會注意到網路變慢、路由器過熱或 CPU 飆高。此時執行「重設原廠設定」或「更新韌體」通常能解決,但這次 ASUS 的狀況沒這麼簡單。

ASUS 攻擊事件的特殊之處

這波攻擊不僅透過破解密碼與漏洞入侵,還建立了一個「韌體更新也刪不掉」的後門存取機制。

駭客會先開啟路由器內建的 SSH 遠端管理功能,並加入自己的加密金鑰來持續控制裝置。這類金鑰開頭通常是:

nginx

複製編輯

AAAAB3NzaC1yc2EA

一般人根本不會注意這種設定,所以這後門能潛伏好幾年。

雖然三個漏洞已被 ASUS 修補,但更新韌體無法移除這個後門。你需要:

  1. 登入路由器設定頁面;
  2. 檢查是否有開啟 SSH 功能(預設埠號為 53282);
  3. 關閉 SSH 並刪除該 SSH 金鑰。

如果不懂怎麼操作,恢復原廠設定會是較保險的方式。

  • 不只有 ASUS

    研究人員指出,這是一場規模更大的行動,波及超過 60 種家庭與辦公室設備,包括:

    • D-Link DIR-850L S
    • Cisco RV042
    • Araknis AN-300-RT-4L2W
    • Linksys LRT224
    • 部分 QNAP NAS 裝置

    這些攻擊雖然手法略有不同,但共同點都是:利用漏洞取得控制權,並盡可能保持隱密。

    目前推測是某個資源充足且極具能力的駭客組織所為,不過其他國家的駭客也已開始模仿這種手法。

實用的防駭建議

  1. 選對路由器很重要
    別只用電信商送的基本款,也別只看價格。建議選擇近 1~2 年內推出的機種,並挑選有定期釋出安全更新的品牌。
  2. 定期更新韌體
    有自動更新功能的請務必開啟。每半年檢查一次路由器狀況與版本。若一年以上沒出新版,可能該換機了。
  3. 關閉不需要的功能
    不用的遠端存取、Telnet、UPnP、WPS…通通關掉。
  4. 禁止網際網路端(WAN)管理路由器
    關閉所有從外部存取路由器後台的方式,例如 SSH、HTTPS 等。
  5. 關閉手機管理 App
    雖然方便,但安全風險高。因為你的手機、路由器與雲端帳號可能都在資料交換。
  6. 改掉預設帳密、Wi-Fi 密碼要夠強
    路由器管理密碼與 Wi-Fi 密碼應該不一樣,而且都要夠長、夠複雜。有的路由器還能改掉 admin 帳號,建議一起改。
  7. 用安全套件協助防護
    像 Kaspersky Premium 就內建「智慧家庭防護模組」,可以偵測弱密碼、異常裝置等等。
  8. 巡視每一個設定頁面
    留意以下可疑狀況:

    • 不明的連接埠轉發設定
    • 多出來的使用者帳號
    • 不認識的 SSH 金鑰或登入方式

發現任何不熟的設定,請上網搜尋「你的路由器型號+可疑設定」來查找來源。若無資料,就先移除該設定。

資料來源 : https://www.kaspersky.com/blog/save-your-home-router-from-apt-residential-proxy/53840/

Comments are closed.

Up ↑

探索更多來自 卡巴斯基部落格 的內容

立即訂閱即可持續閱讀,還能取得所有封存文章。

Continue reading