For næsten et år, og de Brasilianske brugere har været rettet med en ny form for router-angreb, som vi ikke har set andre steder i verden.
Angrebene er næsten usynlige for brugere og kan have katastrofale konsekvenser, er der mulighed for at føre til direkte økonomisk tab for hacket brugere.
Hvad er der i øjeblikket sker til routere i Brasilien bør være et advarselssignal for brugere og Isp ‘ er fra hele verden, hvem der skal tage forholdsregler for at sikre enheder, før de angreb, der er observeret i det sydamerikanske land brede sig til dem også.
Routeren DNS-ændring angreb
De angreb, der er rettet mod routere i Brasilien startede sidste sommer, og blev først observeret af cyber-sikkerhed firma, Radware, og en måned senere af sikkerhedseksperter fra Netlab, et netværk trussel jagt enhed af Kinesisk cyber-sikkerhed gigant Qihoo 360.
På det tidspunkt, de to selskaber, der er beskrevet, hvordan en gruppe af cyber-kriminelle, der var smittet i over 100.000 hjemme-routere i Brasilien og var med at ændre deres DNS-indstillinger.
De ændringer, der foretages i disse routere omdirigeret inficeret brugere af ondsindede klon hjemmesider, når de har forsøgt at få adgang til e-bank-websteder for visse Brasilianske banker.
Lignende angreb blev set et par måneder senere, i April 2018 ved trussel intel firma Dårlig Pakker, der detaljeret anden bølge af angreb, men denne gang primært rettet mod D-Link routere, også vært på Brasilianske Internetudbydere.
Denne gang omkring, udover at kapre brugere, der besøger Brasilianske banker, hackere var også omdirigere brugere til phishing-sider for Netflix, Google, PayPal, for at indsamle deres legitimationsoplysninger, ifølge forskere ved Ixia.
Men ifølge en rapport udgivet af Avast i denne uge, at disse angreb har ikke stoppet. I virkeligheden, ifølge virksomheden, i første halvdel af 2019, hackere har inficeret og ændret DNS-indstillinger på over 180,000 Brasilianske routere.
Angreb blokeret af Avast på Brasilianske routere
Billede: Avast
Desuden kompleksiteten af angreb er steget, og antallet af aktører, der er involveret i angrebene synes at være gået op, samt.
Hvordan en router hack finder sted
Ifølge Avast forskere David Jursa og Alexej Savčin, de fleste Brasilianske brugere, der har deres hjemme-routere, der er blevet hacket mens du besøger sport og film streaming sites, eller voksen portaler.
På disse hjemmesider, ondsindede annoncer (malvertising) køre særlig kode, inde i brugernes browsere, til at søge og registrere IP-adressen på et hjem router router-model. Når de opdager at routerens IP-og model, den ondsindede annoncer, og brug derefter en liste af standard brugernavne og adgangskoder til at logge ind på brugernes enheder, uden deres viden.
Angrebene tage et stykke tid, men de fleste brugere vil ikke mærke noget, fordi de er som regel travlt med at se den video-streams på de websteder, de har lige adgang.
Hvis angrebene er vellykket, yderligere skadelig kode-transmitteret via ondsindede annoncer vil ændre standard DNS-indstillinger på ofrenes routere, der erstatter den DNS-server IP-adresser routere modtager fra upstream-Internetudbydere med IP-adresserne for DNS-servere, der forvaltes af hackere.
Næste gang brugernes smartphone eller computer opretter forbindelse til routeren, vil det få den ondsindede DNS server IP-adresser, og på denne måde, tragt alle DNS-anmodninger via hacker ‘ s servere, hvilket giver dem mulighed for at kapre, og omdirigere trafik til ondsindede kloner.
GhostDNS, Navidade, og SonarDNS
Per Avast ‘ s undersøgelse hackere har været med to særlige sæt til disse angreb. Den første hedder GhostDNS, og er den ene, der er blevet spottet siden sidste sommer, og botnet beskrevet af Radware og Netlab sidste år.
En variant af GhostDNS, kaldet Navidade, også dukkede op i februar.
Per Avast, “Novidade forsøgt at inficere Avast brugere’ routere over 2,6 millioner gange alene i februar og blev spredt via de tre kampagner.”
Desuden, siden midten af April, en anden spiller ind på markedet. Avast kalder denne nye botnet SonarDNS fordi angriberen ser ud til at have re-agtede en penetration testing framework ved navn Sonar.js som rygraden i deres infrastruktur.
Og Sonar.js er perfekt til routeren angreb. Dette JavaScript-bibliotek, der normalt anvendes ved penetration testere til at identificere og lancere udnytter mod interne netværk værter, og er ideel til at bestemme en router-type og kører bedrifter på de målrettede enhed med bare et par linjer af kode.
Avast siger, at det set SonarDNS i tre forskellige kampagner i løbet af de sidste tre måneder, og dens modus operandi ser ud til at være at efterligne, hvordan GhostDNS fungerer.
Ad udskiftning og cryptojacking
Men DNS-hijacking-angreb med henblik på routere i Brasilien har ikke stået stille, og har også udviklet sig. Udover kapring trafik og omdirigere brugere til en phishing-sider, hacker-grupper, der står bag disse angreb har også tilføjet ekstra tricks til deres arsenal.
Den første er at opfange brugerens trafik og erstatte legitime annoncer med reklamer betjenes, eller at generere profit til angriberne.
Denne taktik er ikke ny, per-se-selskabet. I 2016, Proofpoint forskere spottet et exploitkit, som de kaldte DNSChanger EK, der gjorde det samme — udskiftning legitime annoncer med dem, der er ondsindede — og er mest sandsynligt inspiration til, hvad botnet operatører rettet mod Brasilien gør nu.
For det andet, operatører af GhostDNS, Navidade, og SonarDNS, har også været implementering af browser-baseret cryptojacking scripts. Denne sidste taktik er også blevet set i Brasilien før, sidste år, da en anden gruppe kapret over 200.000 Mikrotik routere og tilføjet i-browser cryptocurrency minearbejdere til brugere’ web-trafik.
Fare for spredning til andre lande
Men på trods af alt dette, DNS-ændring af angreb er dem, der er den farligste af alle, for slutbrugerne. Dette er fordi botnet operatører er phishing-brugeres loginoplysninger, og kapring online-profiler eller stjæle penge fra brugere’ bankkonti.
Med de angreb, der er så lusket, svært at opdage, og så indbringende, er det stadig et mysterium, hvorfor de ikke har spredt sig til andre lande.
Hacking routere er både billigt og nemt. Men de fleste IoT botnets i dag slavebinde disse enheder til at udføre DDoS-angreb eller optræde som stedfortrædere for dårlig trafik, brute-force, eller credential fyld angreb. Ved hjælp af routere til phishing-ville være langt mere rentable.
Brugere, der ønsker at være sikker mod ethvert IoT botnet, at de mål, routere til at ændre DNS-indstillinger er et par muligheder til deres rådighed:
Brug komplekse router administration passwordsKeep routere op til dateUse brugerdefinerede DNS-indstillinger på deres enheder, som forhindre, at enheden OS fra at anmode om eventuelt plettet DNS-indstillinger fra den lokale router
Relaterede malware og it-kriminalitet dækning:
Microsoft advarer om Astaroth malware campaignRecent Windows nul-dag anvendes af Buhtrap bande for cyber-espionageHackers overtrådt Grækenland top-level domæne registrarNew Android malware erstatter legitime apps med ad-befængt doppelgangersPale Moon siger, hackere, malware tilføjet til ældre browser versionsThis ny ransomware er rettet mod network attached storage devicesMalware bliver hængende i små og mellemstore virksomheder til et gennemsnit på 800 dage før opdagelsen TechRepublicRegeringen bedrager svindelnumre lige ramte en all-time high, FTC siger CNET
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre