Masz router D-Link? Aktualizuj

W Holandii wykryto wielki botnet - tysiące domowych routerów kontrolowanych przez Rosję (źródło - holenderskie Ministerstwo Obrony https://www.defensie.nl/actueel/nieuws/2022/03/03/mivd-ontdekt-russische-spionnen-in-nederlandse-routers ). Pomyślałem, że mój router ma skonfigurowane automatyczne aktualizacje, ale dla pewności sprawdzę. Okazało się, że ma - tyle że pobiera je z serwera fwupdate.dlink.ru

To oczywiście nie jest skutek ataku, D-Link (firma tajwańska) ma kilka serwerów na świecie i widocznie uznał, że urządzenia sprzedawane w Europie wschodniej będą pobierać aktualizacje z serwera w Rosji. Nic nadzwyczajnego w zwykłych czasach. Niezbyt bezpieczne w obecnych.

Czy to w ogóle jest w Rosji?

No to sprawdzamy, jakie to jest IP?
host fwupdate.dlink.ru
fwupdate.dlink.ru has address 178.170.168.19   
Lokalizacja IP według  https://www.geolocation.com/?ip=178.170.168.19#ipresult    to Ryazan, Russian Federation.

Czy widać jakąś aktywność związaną z tym adresem?

IP należy do rosyjskiego oddziału D-Link, domena zawsze prowadziła na to IP (z wyjątkiem jednego dnia, gdy nie prowadziła nigdzie - pewnie ktoś zapomniał odnowić)
https://securitytrails.com/domain/fwupdate.dlink.ru/history/a  

 Shodan podaje tę samą lokalizację i właściciela. Przy okazji pokazuje, że na tym IP chodzi SSH na domyślnym porcie i anonimowe FTP. Odważnie...

Czy rosyjskie służby mogą podstawić kontrolowany przez siebie firmware?

Mogą, nie wiadomo tylko czy chcą. Sama podmiana pliku to jedna chwila, problemem jest przygotowanie przerobionych firmware'ów. Bez wątpienia są w rosyjskich służbach ludzie, którzy potrafią to zrobić, ale mają teraz pełne ręce roboty i nie wiadomo, czy uznają, że warto. Nie ma śladów, by w ostatnich dniach przekierowano wszystkich hurtem na nowy serwer, nie pojawiły się ostatnio nowe wersje oprogramowania. To dobry znak. Z drugiej strony, rosyjskie służby mogły wstawić backdoora już dawno temu.

Co można z tym zrobić?

Na początek, pobrać ręcznie aktualizację z serwera poza Rosją, np. https://ftp.dlink.net.pl/
Nie wiem niestety, gdzie powstają aktualizacje i jak są rozprowadzane. Możliwe, że na polski serwer trafiają przez Rosję, może nawet są tworzone w rosyjskim oddziale D-Link. Do rozważenia: wymiana firmware na otwartoźródłowy, np. Openwrt.

Czy to jeszcze ostrożność czy już paranoja?

Patrz pierwszy akapit - Rosja już przejmowała domowe routery. Nie chodzi o to, by FSB interesowała się konkretnie mną. Nawet jeżeli napiszę Русский военный корабль, иди нахуй. Obecnie większość ataków nie jest celowana w konkretną osobę tylko zautomatyzowana. Przejmowane są przypadkowe urządzenia lub serwisy po to, by wykorzystać je do kolejnych, już celowanych ataków.