Data: Poniedziałek, 15 kwietnia 2019, 15:41

Seria włamań do routerów domowych

Niezałatane routery D-Link celem złośliwej kampanii przejmowania DNS. Cyberprzestępcy manipulując ustawieniami DNS, przekierowują surfujących po sieci użytkowników do złośliwych stron internetowych.

Zapisy przechowywane w DNS spełniają rolę analogiczną do książki telefonicznej, tłumacząc zrozumiałe dla człowieka adresy URL, takie choćby jak google.com, na adresy numeryczne, którymi operuje Internet. Problem występuje wtedy, gdy komuś uda się zmienić translację adresu tak, że przeglądarka przeniesie internautę na specjalnie spreparowaną fałszywą stronę, zamiast na przykładowy google.com.

Atak, znany jako przejęcie DNS, może być wykorzystany przez przestępców internetowych do kierowania ruchu na fałszywą witrynę, która będzie próbowała zainfekować złośliwym oprogramowaniem odwiedzający ją komputer, wyświetlać przynoszące zysk reklamy lub przeprowadzić procedurę phishingową, mającą na celu wyłudzenie nazw użytkowników i haseł.

Internauta może nie być świadomy tego, że coś jest nie w porządku, ponieważ przeglądarka nadal poświadcza obecność na stronie google.com lub – na przykład – na stronie logowania do jego banku.

Na swoim blogu badacz bezpieczeństwa Troy Mursch pisze, że po raz pierwszy zobaczył dowody ataków 29 grudnia 2018 r., kiedy to wiele modeli modemów DSL marki D-Link stało się celem ataków. Należały do nich routery D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B i D-Link DSL-526B.

W ataku tym ustawienia DNS przechwyconych urządzeń zostały zmienione tak, by kierowały na nieuczciwy serwer DNS hostowany przez OVH Canada.

W lutym 2019 r. rozpoczęła się kolejna fala ataków, wymierzonych znowu we wrażliwe routery D-Link, i ponownie kierująca zhakowane urządzenia na nieuczciwy serwer DNS obsługiwany przez OVH Canada.

W zeszłym miesiącu, 26 marca, nastąpiła najnowsza fala ataków, w której lista narażonych routerów została rozszerzona o modele ARG-W4, SSLink 260E, Secutech i TOTOLINK. Te ostatnie ataki kierowały zapytania DNS do nieuczciwych serwerów hostowanych w Rosji przez Inoventica Sercices.

Chociaż jeszcze nie wiemy dokładnie, z jakich stron internetowych ruch przekierowywany był po przejęciu DNS, to prawdopodobnym wydaje się scenariusz, w którym użytkownicy przenoszeni byli na fałszywe strony banków, gdzie posługując się technikami phishingowymi próbowano wyłudzić od nich hasła.