Інформаційна безпека

Зловмисники зламали тисячі роутерів D-link і перенаправляли їх власників на шкідливі ресурси

Група зловмисників протягом тривалого часу експлуатувала уразливість в ряді моделей роутерів компанії Dlink. Знайдена діра дозволяє віддалено змінювати налаштування DNS-сервера роутера, з тим, щоб перенаправляти користувача пристрою на ресурс, який створений самими зловмисниками. Подальше залежить від вибору самих кіберзлочинців — вони можуть викрадати облікові записи жертв або ж пропонувати послуги, які виглядають, як цілком «білий» сервіс від банку.

Уразливість актуальна для таких моделей, як DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B і DSL-526B. Їх рідко хто оновлює, так що зловмисники можуть використовувати уразливості застарілих прошивок без проблем.

Першими про проблему дізналися представники компанії Radware, що спеціалізується на питаннях кібербезпеки. Як виявилося, все це було задумано зловмисниками для того, щоб отримати доступ до облікових записів клієнтів двох найбільших бразильських банків — Banco de Brasil і Unibanco. Замість серверів банківської мережі користувачі потрапляли на сервери, що перебували під управлінням хакерів.

При цьому користувачі ніяк не могли зрозуміти, що відбувається — їх не намагалися обдурити фішинговими посиланнями та різними спливаючими вікнами. Просто замість сайту банку користувач потрапляв на підроблений сайт, який не викликав практично ніяких побоювань. Природно, перехід на malware-ресурс виконувався навіть у тому випадку, якщо користувач клікав посилання в «Вибраному» свого браузера або ж за URL-ярлику, розміщеному на робочому столі.

Аналогічним чином перехід відбувався у тому разі, якщо замість ПК користувач працював з планшетом, телефоном або будь-яким іншим пристроєм під управлінням будь-якої ОС. Головна умова для виконання malware-переходу — підключення до скомпрометованого роутеру.

Сайти бразильських банків були обрані тому, що доступ до них може бути отриманий по HTTP, без захисту. Так що відвідувачі не отримують жодних повідомлень про те, що сайт, на який вони перенаправляються — шкідливий. Якщо ж у користувача HTTPS встановлений за замовчуванням, то в цьому випадку потенційна жертва отримує повідомлення про проблеми з сертифікатом. Але при цьому є опція «погодитися», і якщо користувач її обирає, що робить більшість користувачів, перенаправлення працює без всяких проблем. Крім того, шкідливий сайт «прикидається» цілком нормальним. Якщо користувач заходить на реальному сайті банку, то його дані пересилаються на сервер зловмисників. Сайт контролюється з того ж IP, що і DNS-сервер зловмисників.

Сайт, на який здійснюється перехід, один в один схожий на реальний ресурс банку, так що не дуже просунутих в технічному плані користувачів можуть бути з легкістю обмануті. Наскільки можна зрозуміти, сайт зловмисників поки не налаштований, схожість поки чисто зовнішнє, без функціоналу банківського сайту (підробити і це — не дуже складно).

Після того, як компанія, виявила атаку, повідомила про проблему, злобливий DNS – ресурс і фейковий сайти були закриті хостинг-компанією, якій належить сервер. Правда, це створює певні незручності для власників «модернізованих» роутерів. Справа в тому, що оскільки DNS-сервер змінено на шкідливі у налаштуваннях обладнання, воно більше не здатне давати доступ до мережі без вторинного налаштування. Зробити це просто, але якщо у вас немає досвіду і розуміючи, що відбувається, проблема може стати серйозною.

На даний момент це одна з найбільших атак з використанням роутерів. У травні повідомлялося про схожої атаці. Тоді було інфіковано близько півмільйона мережевих пристроїв різних виробників. Після того, як представники ФБР дізналися про проблему, вони попередили сервіс VPNFilter, з якими працювало ПО зловмисників, і проблему теж вдалося вирішити.

Та й раніше проблеми подібного роду траплялися. Так в 2016 році malware, відоме, як DNSChanger стало причиною виконання зараженими роутерами команд зловмисників. Тоді також використовувався шкідливий DNS-сервер. І точно також, як і зараз, здійснювався перехід на шкідливі ресурси, що належали зловмисникам.

Найкращий захист від атак такого роду — по-перше, оновлювати прошивку обладнання, по-друге, використовувати надійний пароль. Крім того, можна змінити DNS перевірений — наприклад, 1.1.1.1 від Cloudflare або 8.8.8.8 від Google.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close