Ботнет AryStinger захватил тысячи устаревших маршрутизаторов D-Link
Автор: Mag-Info Tech editorial · 2026-06-22
Как работает ботнет AryStinger и почему это опасно
Ботнет AryStinger — новая угроза, обнаруженная аналитиками компании Qianxin, — использует уязвимости в устаревших моделях маршрутизаторов D-Link для создания распределённой сети заражённых устройств. Злоумышленники эксплуатируют старые CVE, такие как CVE-2013-3307 и CVE-2016-5681, а также недавнюю уязвимость CVE-2025-11837, чтобы получить контроль над устройствами. После заражения маршрутизаторы становятся частью ботнета, который может выполнять сканирование сетей, ретранслировать вредоносный трафик, выполнять команды и даже изменять настройки DNS. Это позволяет атакующим не только скрывать свои следы, но и перенаправлять пользователей на фишинговые сайты или перехватывать их сетевой трафик.
Особую опасность представляет распределённая архитектура ботнета. Злоумышленники могут дробить сложные задачи, такие как сканирование сетей или сбор данных, на небольшие фрагменты и распределять их между тысячами заражённых устройств. Это значительно ускоряет процесс разведки и увеличивает шансы на успешную атаку. Например, вместо того чтобы сканировать сеть с одного IP-адреса, который может быть быстро заблокирован, ботнет использует множество устройств, разбросанных по всему миру. Такой подход делает обнаружение и нейтрализацию угрозы крайне сложной задачей для систем безопасности.
Какие устройства подвержены риску
На данный момент AryStinger ориентирован на две модели маршрутизаторов D-Link: DIR-850L и DIR-818LW. Эти устройства давно сняты с производства, но до сих пор активно используются в домашних и корпоративных сетях, особенно в странах Азии. По данным Qianxin, почти половина всех заражённых устройств находятся в Южной Корее (48,5%), за ней следуют Китай (31,8%), Швеция (6,4%), Малайзия (3,5%) и Сингапур (2,5%). Это распределение указывает на то, что угроза носит глобальный характер, но наиболее активна в регионах с высокой плотностью использования устаревших устройств.
Интересно, что исследователи обнаружили две версии AryStinger: одну, написанную на языке C, которая нацелена на маршрутизаторы, и другую, основанную на Go, которая ориентирована на сетевые накопители (NAS). Версия для NAS более продвинута и включает функции сканирования IP и DNS, выполнения команд, запуска полезной нагрузки и разведки внутренних сетей с использованием открытых инструментов для тестирования на проникновение. Однако на данный момент масштабы заражения NAS-версией значительно меньше, чем у версии для маршрутизаторов.
Механизмы заражения и распространения
AryStinger использует несколько старых, но всё ещё актуальных уязвимостей в прошивке маршрутизаторов D-Link. Например, CVE-2013-3307 связана с переполнением буфера, которое позволяет злоумышленникам выполнять произвольный код на устройстве. CVE-2016-5681 позволяет обходить аутентификацию и получать административный доступ к устройству. После получения доступа к маршрутизатору ботнет загружает вредоносное ПО, которое устанавливает постоянное присутствие на устройстве, даже после перезагрузки. Это достигается за счёт модификации системных файлов или добавления вредоносных сервисов.
Злоумышленники также могут изменять настройки DNS на заражённых устройствах, что позволяет им перенаправлять пользователей на поддельные сайты. Например, при попытке пользователя зайти на легитимный банковский портал, он может быть перенаправлен на фишинговую страницу, имитирующую интерфейс банка. Это не только позволяет красть учётные данные, но и устанавливать дополнительное вредоносное ПО на устройства пользователей. Кроме того, AryStinger может перехватывать и анализировать весь входящий и исходящий трафик, что открывает возможности для сбора конфиденциальной информации, такой как пароли, номера кредитных карт и другие данные.
Возможные последствия для пользователей и компаний
Для обычных пользователей последствия заражения могут быть крайне неприятными. Помимо риска кражи личных данных, они могут столкнуться с блокировкой доступа к важным ресурсам из-за изменения настроек DNS или блокировки IP-адресов, связанных с ботнетом. Например, если провайдер обнаружит, что IP-адрес маршрутизатора участвует в рассылке спама или атаках, он может заблокировать доступ к сети до устранения проблемы. Это приведёт к длительным перебоям в работе интернета и невозможности пользоваться онлайн-сервисами.
Для компаний последствия могут быть ещё более серьёзными. Заражённые маршрутизаторы могут использоваться для атак на корпоративные сети, сканирования внутренних ресурсов или выполнения DDoS-атак. Например, ботнет может быть использован для сканирования внутренних IP-адресов компании с целью поиска уязвимых систем или для выполнения атак «грубой силы» на серверы. Кроме того, перехват сетевого трафика может привести к утечке конфиденциальной информации, такой как данные клиентов, финансовые отчёты или интеллектуальная собственность. Ущерб от таких атак может исчисляться миллионами долларов, не говоря уже о репутационных потерях.
Как проверить, заражён ли ваш маршрутизатор
Первым шагом к защите от AryStinger является проверка того, используете ли вы уязвимые модели маршрутизаторов D-Link. Если у вас DIR-850L или DIR-818LW, велика вероятность, что устройство может быть заражено, особенно если оно не обновлялось в течение последних нескольких лет. Однако даже если у вас другая модель, стоит проверить наличие подозрительной активности. Например, необычно высокая загрузка процессора или сетевого интерфейса, частые перезагрузки устройства или неожиданное изменение настроек DNS могут быть признаками заражения.
Для более детальной проверки можно использовать встроенные инструменты маршрутизатора, такие как журналы активности или мониторинг сетевого трафика. Также можно воспользоваться сторонними утилитами, такими как Wireshark, для анализа сетевого трафика. Если вы обнаружили подозрительную активность, рекомендуется немедленно отключить устройство от сети и выполнить сброс настроек к заводским. После этого следует установить последнюю версию прошивки или, в случае отсутствия обновлений, заменить маршрутизатор на более современную модель.
Реальные результаты от ИИ от MEFAI. Скидка 50$ на тариф Про.
Реклама · Прошлые результаты не гарантируют будущих. Не является финансовой консультацией.
Как защитить маршрутизатор от заражения
Основным способом защиты от AryStinger и других угроз является регулярное обновление прошивки устройства. Производители маршрутизаторов часто выпускают патчи для устранения известных уязвимостей, поэтому важно своевременно устанавливать обновления. Однако в случае с устаревшими моделями, такими как DIR-850L и DIR-818LW, производитель может больше не выпускать обновления безопасности. В этом случае единственным решением является замена устройства на более современную модель с поддержкой регулярных обновлений.
Кроме того, стоит отключить удалённый доступ к маршрутизатору через интернет, так как это значительно снижает риск эксплуатации уязвимостей. Также рекомендуется изменить стандартные учётные данные для входа в панель управления устройством и включить двухфакторную аутентификацию, если это поддерживается. Не менее важно регулярно проверять настройки DNS и убедиться, что они не были изменены злоумышленниками. Для этого можно использовать сторонние сервисы, такие как DNS Leak Test, которые позволяют проверить, использует ли ваш маршрутизатор легитимные DNS-серверы.
Что делать, если маршрутизатор уже заражён
Если вы подозреваете, что ваш маршрутизатор заражён AryStinger, первым делом отключите его от сети, чтобы предотвратить дальнейшее распространение ботнета. После этого выполните сброс настроек к заводским, чтобы удалить вредоносное ПО. Однако помните, что сброс настроек удалит все пользовательские конфигурации, включая настройки Wi-Fi и пароли, поэтому заранее подготовьте резервную копию важных данных.
После сброса настроек установите последнюю версию прошивки или, если обновлений нет, замените маршрутизатор на новую модель. Также рекомендуется изменить все пароли, которые могли быть скомпрометированы, включая пароли для доступа к банковским сервисам, электронной почте и социальным сетям. Если вы не уверены в своих силах, обратитесь к специалисту по кибербезопасности, который поможет провести диагностику и очистку устройства.
Будущие угрозы и что ждать от AryStinger
Исследователи из Qianxin предупреждают, что распределённая архитектура AryStinger может быть использована не только для сканирования и ретрансляции трафика, но и для генерации большого количества DNS-запросов. Это может привести к нагрузке на DNS-серверы и вызвать проблемы с доступностью интернет-ресурсов. Хотя на данный момент таких атак не зафиксировано, потенциал для их реализации существует, что делает AryStinger особенно опасным.
Кроме того, угроза может эволюционировать. Уже сейчас существует версия ботнета, нацеленная на сетевые накопители (NAS), которая включает более продвинутые функции, такие как внутренняя разведка и выполнение произвольного кода. Если злоумышленники продолжат развивать AryStinger, он может стать ещё более опасным инструментом для атак на корпоративные и домашние сети. Поэтому важно следить за новостями о новых угрозах и своевременно принимать меры по защите своих устройств.
Практические шаги для пользователей и компаний
Для пользователей, использующих устаревшие маршрутизаторы, единственным надёжным решением является их замена на современные модели с поддержкой регулярных обновлений безопасности. Если замена невозможна, следует максимально ограничить функциональность устройства: отключить удалённый доступ, изменить стандартные учётные данные и регулярно проверять настройки DNS. Также стоит рассмотреть возможность использования дополнительных средств защиты, таких как сетевые экраны или системы обнаружения вторжений.
Компаниям следует провести аудит всех сетевых устройств, включая маршрутизаторы, коммутаторы и точки доступа, чтобы выявить устаревшие модели, которые могут быть уязвимы для AryStinger. Особое внимание стоит уделить устройствам, используемым в удалённых офисах или филиалах, так как они часто остаются без должного внимания со стороны ИТ-служб. Также рекомендуется внедрить политику регулярного обновления прошивок и мониторинга сетевой активности для своевременного обнаружения подозрительных действий.
Заключение
Ботнет AryStinger — это новая, но уже хорошо организованная угроза, которая использует устаревшие устройства для создания распределённой сети заражённых машин. Его распределённая архитектура позволяет злоумышленникам эффективно выполнять разведку, ретранслировать вредоносный трафик и даже перехватывать сетевой трафик пользователей. Хотя на данный момент основной целью являются маршрутизаторы D-Link, не исключено, что в будущем угроза распространится на другие устройства, включая сетевые накопители.
Единственным надёжным способом защиты остаётся своевременное обновление прошивок, замена устаревших устройств и регулярный мониторинг сетевой активности. Пользователям и компаниям следует отнестись к этой угрозе серьёзно, так как последствия заражения могут быть крайне серьёзными — от кражи данных до финансовых потерь и репутационного ущерба. Не стоит ждать, пока ваш маршрутизатор станет частью ботнета: действуйте прямо сейчас, чтобы обезопасить свои сети.
Больше в Кибербезопасность и Приватность
Taiko блокирует уязвимость в мостах: что произошло и как защитить активы
Taiko обнаружил компрометацию механизма проверки состояния блокчейна, что позволило злоумышленникам похитить $1,7 млн через поддельные доказательства. Команда приостановила работу мостов и рекомендует
Взлом моста Secret Network: как «бесконечный» баг обернулся убытками на $4,7 млн
Атака на мост Secret Network через уязвимость «бесконечной эмиссии» привела к потере $4,7 млн. Разбираемся, как хакер использовал «пустые» токены, почему баг оставался незамеченным неделю и что это зн
Новая атака Prinz Eugen: как работает шифровальщик, угрожающий бизнесу
Новый шифровальщик Prinz Eugen шифрует самые актуальные файлы, не оставляет записки и использует легитимные инструменты для проникновения — узнайте, как защититься.