Dziwna konfiguracja routera po resecie. Podejrzenie włamania i podsłuchu

Question

Cześć,

Potrzebuję pilnej pomocy, bo mam wrażenie, że mój router został zhakowany. Sytuacja jest bardzo dziwna. Zrobiłem pełny reset routera do ustawień fabrycznych, ale zamiast wrócić do domyślnych wartości, automatycznie przywrócił nietypową konfigurację, co bardzo mnie niepokoi.

Oto kluczowe objawy:

Trwała zmiana oprogramowania (firmware): Po resecie router od razu wraca do zmodyfikowanych ustawień, co sugeruje, że jego firmware jest zainfekowany. Normalnie, reset powinien go wyczyścić.

1. Nietypowa konfiguracja sieci: Router jest w trybie podwójnego NAT (Network Address Translation). Ma adres 192.168.0.1 i łączy się z inną podsiecią 192.168.1.x, co nie ma sensu w domowej sieci.
2. Lokalny serwer DNS: W ustawieniach routera widnieje lokalny serwer DNS o adresie 192.168.1.1. Podejrzewam, że to BIND9, który umożliwia DNS Spoofing i przekierowywanie ruchu na złośliwe strony.
3. Otwarty port 58000: Skanowanie portów wykryło otwarty port 58000, który jest często powiązany z lukami w protokole UPnP i wykorzystywany w atakach.

Te wszystkie sygnały wskazują na to, że ktoś mógł przejąć kontrolę nad moim routerem. Obawiam się, że ruch jest monitorowany, a moje dane (np. hasła) mogą być w niebezpieczeństwie.

Zanim kupię nowy router, chciałbym się upewnić, że nie da się tego naprawić.

Pytania odnośnie ataku
Zastanawiam się, w jaki sposób mogło dojść do takiego ataku. Czy konieczna była fizyczna ingerencja w router? A może wystarczyło zdalne włamanie?

Podejrzewam, że atak mógł zostać przeprowadzony zdalnie, np. przez wykorzystanie jednej ze znanych luk w zabezpieczeniach (np. w protokole UPnP, o którym już wspominałem). Być może atakujący wykorzystał słabe hasło lub błąd w oprogramowaniu, aby wgrać zmodyfikowany firmware.

Moje pytania:

1. Czy faktycznie jest to sytuacja, w której router jest skompromitowany?
2. Czy istnieje jakakolwiek możliwość usunięcia złośliwego oprogramowania bez wymiany sprzętu?
3. Czy jest coś, co mogę zrobić teraz, aby zminimalizować ryzyko, zanim kupię nowy sprzęt?

Proszę o wszelkie porady i wskazówki. Z góry dziękuję za pomoc.

Answer 1

Fakt, że przechodzi przez jakąś inną podsieć z grupy prywatnej, jest na prawdę zastanawiający. Bardzo możliwe że ktoś puścił po wspólnym kablu autorytatywny serwer DHCP i podsłuchuje Twój ruch. 

 

Aczkolwiek z drugiej strony, byłbym w stanie uwierzyć że jakiś lokalny ISP (np. spółdzielnia) amatorsko zrobił sobie lokalny CG-NAT (Carrier-Grade NAT, np. T-Mobile w ofercie domowej taki ma - w skrócie polega na NATowaniu całego ruchu na skalę masową), i puszcza sobie taki aby zaoszczędzić na adresach IP 

 

Podejrzewam że kupno nowego sprzętu nic nie da, gdyż każde urządzenie złapie to samo DHCP. Najlepsza opcja mym skromnym zdaniem to kontakt z Twoim ISP, a jeżeli stwierdzą że to nie ich to zgłosić na policję. Na pewno znajdzie się na to paragraf.

Comments

Całkiem duża część dostawców internetu nie daje adresu publicznego na routerze domowym.

Answer 2

Po pierwsze – dziękuję za wszystkie dotychczasowe sugestie. Niestety, muszę otwarcie zakomunikować, że to trzeci wątek na tym forum dotyczący niejawnej ingerencji w moje środowisko IT. Pierwsze incydenty miały miejsce jeszcze na laptopie z Windows 10, gdzie dziennik zdarzeń wskazywał na skuteczne przełamanie zabezpieczeń w czasie mojej fizycznej nieobecności. Sprawę formalnie zgłosiłem organom ścigania – niestety, postępowanie zostało umorzone bez zabezpieczenia sprzętu oraz bez udziału biegłego informatyka śledczego, mimo że taka analiza mogłaby jednoznacznie odróżnić paranoję od cyberprzestępstwa.

Aktualnie mamy déjà vu. Tym razem wektor ataku jest ewidentnie sieciowy: podwójny NAT, domniemany lokalny resolver DNS podszywający się pod zaufany punkt odniesienia, nietypowy port 58000 sugerujący zabawę z UPnP i persistence po hard resecie routera. To nie jest normalne. To pachnie malware’em w firmware albo kompromitacją w warstwie poniżej użytkownika – a takie ataki są stosowane do monitoringu, manipulacji odpowiedzi DNS oraz analizy nieszyfrowanego ruchu. W dodatku – jak słusznie zauważono – wymiana routera bez identyfikacji źródła DHCP czy MITM na uplinku może być gaszeniem pożaru benzyną.

Chcę również zaakcentować aspekt społeczno-prawny. Od blisko pięciu lat notuję eskalujące anomalie: trudności w znalezieniu zatrudnienia drogą online, utrata pracy w okolicznościach zbieżnych z wyciekiem informacji, realne groźby kierowane pod moim adresem, a nawet ingerencja w samochód mogąca skutkować utratą zdrowia lub życia. Drugi wątek zgłosiłem ponownie – tym razem sprawa dotarła do prokuratury. Jednakże: brak zabezpieczenia sprzętu, brak przesłuchań świadków, odmowa udzielenia informacji o statusie dowodów, odmowa wglądu do akt jako osoby pokrzywdzonej i… finalnie lakoniczne umorzenie. Brzmi jak wzorcowy „service level zero”.

Dzisiaj nie pytam tylko o router. Pytam o praworządność, jawność postępowania oraz minimalne standardy bezpieczeństwa obywatela państwa UE. Na ten moment czuję się odcięty od swoich praw – technologicznie, zawodowo, finansowo i proceduralnie. To nie jest sustainable living. To jest managed decline.

Jeżeli ktokolwiek na forum ma doświadczenie w cyber-incident response, procedurach prokuratorskich lub wąskich aspektach prawa telekomunikacyjnego – każdy insight będzie złotem.

Answer 3

Nikt Ci się na router nie włamał, to nie jest takie proste- że byle chłopak z budowy to zrobi w dzisiejszych czasach też takie akcje są kontrolowane przez operatorów sieci automatycznie.
Nikt do "przypadkowych randomowych osób" nie chce się włamać. - za duże ryzyko, nikomu nawet się nie chce tyle narobić... bo nic z tego i tak za bardzo niewyciąganie