Przestępcy przejęli kontrolę nad 100 000 ruterów
Cyberprzestępcy wprowadzili zmiany w serwerze DNS w ponad 100 000 ruterów na całym świecie. Dzięki temu są w stanie przekierować cały ruch przechodzący przez takie rutery. Pozwala im to np. na przeprowadzanie ataków phishingowych, podczas których zdobędą dane użytkowników czy uzyskają dostęp do ich kont bankowych.
Atak na serwery DNS ruterów nie jest niczym nowym. Jednak ten, do którego doszło 20 września wyróżniał się olbrzymią skalą.
Do ataku dochodziło, gdy ofiara odwiedziła witrynę, na której znajdował się odpowiedni skrypt. Był on wykonywany na komputerze ofiary i sprawdzał, czy w sieci wewnętrznej otwarte są konkretne porty. Następnie dochodziło do próby logowania się na ruter na prawach administratora. Używano przy tym metody brute force. Jako, że wielu użytkowników nie zmienia fabrycznych haseł i loginów, metoda ta w wielu przypadkach zadziałała. Po zalogowaniu na ruter przestępcy mogli zmieniać dane zapisane w serwerze DNS.
Wiadomo, że atak działa przeciwko ponad 70 modelom ruterów. Są wśród nich produkty takich firm jak 3COM, D-LINK, Huawei, TP-LINK, Intelbras, MikroTiK czy TRIZ. Ofiarą cyberprzestępców padło ponad 100 000 ruterów, w większości znajdujących się w Brazylii. Wiadomo, że ich użytkownicy są przekierowywani na fałszywe witryny banków, firm hostingowych czy Netfliksa.
Komentarze (3)
Przemek Kobel, 3 października 2018, 13:18
Ja myślę, że informacja jest trochę niedokładna. Oni po prostu spowodowali, że routery używały innych serwerów DNS niż normalnie (DNS to serwer, który na pytanie o nazwę domeny odpowiada jej adresem IP, czyli tłumaczy np. człowiekowe 'kopalniawiedzy.pl' na sieciowe 172.104.129.106). A te inne serwery DNS podsuwały nieprawdziwe adresy IP niektórych stron, przez co użytkownicy widzieli zamiast oryginałów witryn coś innego (spreparowane klony, przeznaczone do kradzieży danych, głównie haseł).
Co ciekawe, przygotowanie do podobnego ataku oglądam od dłuższego czasu u siebie w pracy. Non stop coś z zewnątrz (głównie są to konta należące do google'a - adresy IP zaczynające się od 35) wysyła na serwer takie wywołania, licząc, że zmieni konfigurację DNS:
/dnscfg.cgi?dnsPrimary=139.60.162.188&dnsSecondary=139.60.162.201&dnsDynamic=0&dnsRefresh=1Te próby ataku lecą cały czas z automatu i po całym internecie. Nie wymagają żadnego kliknięcia czegokolwiek, a tylko routera podłączonego do sieci.
Podejrzewam, że gdyby zamiast serwera takie wywołanie dostał jakiś podatny na atak router, to każdy użytkownik tego routera otrzymywałby adres IP każdej odwiedzanej strony z jakiegoś dziwnego serwera DNS (to co do mnie docierało było ustawione na Kanadę, USA i Brazylię właśnie). Aha, na początku wysyłałem to na googlowe abuse, ale oni tam chyba mają ważniejsze rzeczy na głowie, więc teraz tylko ubogacam sobie czarną listę.
Delor, 3 października 2018, 21:20
Proste skrypty wykonywane w chmurach googla? Np. coś podobnego do https://www.exploit-db.com/exploits/42195/
Atak z artykułu to rozwinięcie takiego ataku: https://www.proofpoint.com/us/threat-insight/post/Phish-Pharm
Ja bym się przyczepił tylko do tych zdań:
Przemek Kobel, 3 października 2018, 21:36
Większość rzeczy w komputerach jest prosta (np. bramka NAND). Zabawa się zaczyna, kiedy tych prostych rzeczy trochę się nazbiera. Na przykład z bramek NAND (wyłącznie z nich) można zbudować cały komputer, a społeczna lista adresów IP, z których w ciągu ostatnich 48 godzin odpalono różne takie proste skrypty ma teraz ile - 50 tysięcy wpisów? Ktoś jeszcze nad tym panuje?