大量SOHO路由器變殭屍 為駭客DDoS助攻

世界各地都有SOHO族，這些族群往往受限於經費等問題，自行架設網路等等，往往忽略資安問題，國外資安業者Incapsula發表報告指出，可能有數十萬甚至上百萬台的SOHO族專用路由器已成為殭屍路由器，被駭客用來執行大規模的分散式阻斷服務（DDoS）攻擊，而且操控這些殭屍路由器的駭客集團還不只一家。

Incapsula從2014年底協助客戶處理各種DDoS攻擊事件，並維護旗下數十個網域的安全，但最近一個月發現，駭客的攻擊規模在大幅擴增，用來攻擊的IP數量增加了一倍，此事引起該公司注意，展開進一步調查之後才發現這波攻擊行動鎖定了數百個網域，Incapsula只是其中一個受害者，而且攻擊目標從應用層升級到網路層。

Incapsula發現，所有被駭的路由器都被植入了MrBlack惡意程式的各式變種，每台路由器平均含有4個MrBlack變種，以及其他的惡意程式檔案。這些惡意程式主要為DDoS工具，也有少數是屬後門程式。此外，此一遭受駭客操縱、用來發動DDoS攻擊的殭屍網路是由大量的SOHO路由器所組成，特別是基於ARM架構的Ubiquiti裝置。

在為期111天的調查中，Incapsula找到超過4萬個不重覆攻擊IP，其中有64%位於泰國，21%位於巴西，並牽涉到全球109個國家與1600家的ISP業者。該公司分析，從攻擊目標與模式來看，這些路由器顯然由許多不同的集團及個人所掌控，由於這些裝置太容易攻陷，預期還會有其他駭客集團加入，在調查期間也看到了駭客仍繼續在已遭駭的路由器上植入新的惡意程式。

Incapsula已聯繫受到影響的路由器業者與ISP業者，同時強烈建議路由器用戶關閉所有自遠端存取管理介面的功能，以及變更路由器的登入憑證。