Co skrywają używane routery?

Wymiana routerów na nowe to codzienność w wielu dużych firmach. Działy IT często skupiają się na konfiguracji nowego sprzętu, mniej troszcząc się o los starego. To poważny błąd: informacje pozostawione na tych urządzeniach, takie jak np. dane klientów, klucze uwierzytelniające czy listy aplikacji wystarczą do przeprowadzenia cyberataku. Jak się okazuje, ponad połowa routerów  zakupionych przez specjalistów ESET na rynku wtórnym w ramach szybkiego testu, zawierała wrażliwe dane.

Kiedy zespół badawczy firmy ESET kupił kilka używanych routerów, aby skonfigurować środowisko testowe, jego członkowie ze zdziwieniem odkryli, że w wielu przypadkach wcześniej używane konfiguracje nie zostały usunięte. Takie dane na urządzeniach można wykorzystać do identyfikacji poprzednich właścicieli wraz ze szczegółami konfiguracji ich sieci. To odkrycie skłoniło firmę do przeprowadzenia szerszego testu: zakupu większej liczby używanych urządzeń i sprawdzenia, czy pozostawiono na nich ważne dane. Po zbadaniu 16 routerów, odkryto szczegóły konfiguracji i dane na aż 9 z nich. Co więcej:

• 2 z 9 urządzeń zawierały dane klientów
• 1/3 urządzeń ujawniała dane umożliwiające połączenia zewnętrzne z siecią firmową
• 4 z 9 urządzeń miały poświadczenia umożliwiające łączenie się z innymi sieciami jako zaufana strona
• 8 z 9 urządzeń miało widoczne szczegóły połączeń dla określonych aplikacji
• 8 z 9 urządzeń zawierało klucze uwierzytelniające
• Wszystkie urządzenia zawierały co najmniej jedno poświadczenie IPsec lub VPN albo zaszyfrowane jednostronnie hasło użytkownika root
• Wszystkie urządzenia posiadały wystarczające dane, aby wiarygodnie zidentyfikować byłego właściciela/operatora

Jak podkreślają eksperci, w niepowołanych rękach te informacje – w tym dane klientów, klucze uwierzytelniające, listy aplikacji i wiele innych – wystarczą do przeprowadzenia cyberataku. Cyberprzestępca może uzyskać dostęp do sieci firmowej pozwalający na sprawdzenie, gdzie znajdują się zasoby cyfrowe firmy i które z nich są wartościowe.

W ostatnich latach cyberprzestępcy zmieniali swoje metody działania podczas ataków na firmy. Obecnie koncentrują się na tworzeniu sobie możliwości wejścia do sieci ofiary, obejściu zabezpieczeń i uzyskaniu dostępu do newralgicznych danych. Finalnym akordem jest atak oprogramowaniem typu ransomware. Przestępcy mogą zarobić nie tylko szantażując firmy, ale również sprzedając ich dane dostępowe w darknecie. Według badań KELA Cybercrime Prevention aktualna średnia cena za uprawnienia dostępu do sieci korporacyjnych to 2 800 dolarów. Oznacza to, że kupiony za kilkaset dolarów używany router, który bez większego wysiłku daje dostęp do sieci, może zapewnić cyberprzestępcy znaczny zwrot z inwestycji.

Przebadane routery pochodziły z organizacji różnej wielkości, od średnich firm po globalne przedsiębiorstwa z różnych branż (centra danych, kancelarie prawne, zewnętrzni dostawcy technologii, firmy produkcyjne i technologiczne, firmy kreatywne i twórcy oprogramowania). W ramach procesu testowania firma ESET, w miarę możliwości, ujawniała swoje ustalenia każdej zidentyfikowanej organizacji, aby upewnić się, że są one świadome sytuacji. Niektóre organizacje, których dane zostały naruszone, nie reagowały na powtarzające się próby kontaktu podczas gdy inne wykazały się profesjonalizmem i potraktowały zdarzenie jako poważne naruszenie bezpieczeństwa.