Seria ataków na routery D-Link


Routery domowe to wyjątkowo łakomy kąsek dla cyberprzestępców, którym udany atak może np. otworzyć drogę do zainfekowania wszystkich urządzeń podpiętych do domowej sieci. Bitfender informuje o kolejnej złośliwej kampanii, wycelowanej w niezałatane routery D-Link. Tym razem atakujący, manipulując stawieniami DNS, starali się przekierowywać użytkowników na szkodliwe strony internetowe.

Zapisy przechowywane w DNS można porównać do książki telefonicznej, która tłumaczy zrozumiałe dla człowieka adresy URL na zrozumiałą dla globalnej sieci wersję numeryczną. Problem pojawia się wówczas, gdy komuś uda się zmodyfikować translację adresu tak, aby przeglądarka przeniosła internautę na spreparowaną przez cyberprzestępców, fałszywą stronę internetową.

Efektem takiego ataku, znanego jako przejęcie DNS, jest zainfekowanie komputera ofiary złośliwym oprogramowaniem, wyświetlanie przynoszących zysk reklam, lub też przeprowadzenie phishingu służącego wyłudzeniu wrażliwych danych.

Internauta może nie być świadomy tego, że coś jest nie w porządku, ponieważ przeglądarka nadal poświadcza obecność na stronie google.com lub – na przykład – na stronie logowania do jego banku.

Na swoim blogu badacz bezpieczeństwa Troy Mursch pisze, że po raz pierwszy zobaczył dowody ataków 29 grudnia 2018 r., kiedy to wiele modeli modemów DSL marki D-Link stało się celem ataków. Należały do nich routery D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B i D-Link DSL-526B.

W ataku tym ustawienia DNS przechwyconych urządzeń zostały zmienione tak, by kierowały na nieuczciwy serwer DNS hostowany przez OVH Canada.

W lutym 2019 r. rozpoczęła się kolejna fala ataków, wymierzonych znowu we wrażliwe routery D-Link, i ponownie kierująca zhakowane urządzenia na nieuczciwy serwer DNS obsługiwany przez OVH Canada.

Router

fot. Oleksandr Delyk – Fotolia.com

Router

Niezałatane routery D-Link celem złośliwej kampanii przejmowania DNS.

W zeszłym miesiącu, 26 marca, nastąpiła najnowsza fala ataków, w której lista narażonych routerów została rozszerzona o modele ARG-W4, SSLink 260E, Secutech i TOTOLINK. Te ostatnie ataki kierowały zapytania DNS do nieuczciwych serwerów hostowanych w Rosji przez Inoventica Sercices.

– Tego typu ataki podkreślają znaczenie utrzymywania należytej „higieny” urządzeń mających dostęp do Internetu. Luki w zabezpieczeniach D-Link, które wykorzystano w atakach, załatane zostały lata temu, ale wielu użytkowników nie zainstalowało wymaganych poprawek – prawdopodobnie z powodu braku świadomości problemu. Ważne jest, aby oprogramowanie routerów domowych było na bieżąco aktualizowane. Urządzenia, w których nadal funkcjonuje nieaktualne oprogramowanie układowe mogą być narażone na zmieniające ustawienia DNS ataki hakerskie – mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.

Chociaż jeszcze nie wiemy dokładnie, z jakich stron internetowych ruch przekierowywany był po przejęciu DNS, to prawdopodobnym wydaje się scenariusz, w którym użytkownicy przenoszeni byli na fałszywe strony banków, gdzie posługując się technikami phishingowymi próbowano wyłudzić od nich hasła.

You have Successfully Subscribed!