Voor bijna een jaar, Braziliaanse gebruikers zijn het doelwit met een nieuw type router aanval die niet is gezien ergens anders in de wereld.
De aanvallen zijn bijna onzichtbaar voor eindgebruikers en kan desastreuze gevolgen hebben, de mogelijkheid hebben om te leiden tot directe financiële verliezen voor gehackte gebruikers.
Wat is er op dit moment gebeurt met de routers in Brazilië moet een waarschuwing zijn voor de gebruikers en de Isp ‘ s van over de hele wereld, die moeten voorzorgsmaatregelen nemen om veilig de toestellen voor de aanslagen waargenomen in het Zuid-Amerikaanse land verspreid naar hen.
Router de DNS-wijzigen-aanvallen
De aanvallen op routers in Brazilië afgelopen zomer begonnen en werden voor het eerst waargenomen door cyber-security bedrijf Radware, en een maand later door security-onderzoekers van Netlab, een netwerk bedreiging van jacht-eenheid van de Chinese cyber-security reus Qihoo 360.
Op het moment dat de twee bedrijven beschreven hoe een groep van cyber-criminelen was besmet dan 100,000 thuis routers in Brazilië en werden het aanpassen van de DNS instellingen.
De wijzigingen in deze routers omgeleid geïnfecteerde gebruikers naar kwaadaardige kloon websites wanneer ze probeerden om toegang te krijgen tot e-banking sites voor bepaalde Braziliaanse banken.
Soortgelijke aanvallen te zien waren een paar maanden later, in April 2019 door bedreiging intel bedrijf Slecht Pakketten, die gedetailleerde nog een golf van aanvallen, maar dit keer vooral gericht tegen de D-Link routers, ook gehost op Braziliaanse Isp ‘ s.
Deze keer rond, naast het kapen van gebruikers bezoek aan de Braziliaanse banken, de hackers waren ook het omleiden van gebruikers naar phishing-pagina ‘ s voor Facebook, Google en PayPal, aan het verzamelen van hun referenties, volgens de onderzoekers van Ixia.
Maar volgens een rapport gepubliceerd door Avast deze week, deze aanvallen nog niet gestopt. In feite, volgens het bedrijf, in de eerste helft van het jaar 2019, hackers hebben besmet en aangepast aan de DNS-instellingen van meer dan 180.000 Braziliaanse routers.
Aanvallen geblokkeerd door Avast op Braziliaanse routers
Afbeelding: Avast
Bovendien, de complexiteit van de aanvallen is toegenomen, en het aantal actoren dat betrokken is bij de aanslagen lijkt te zijn gegaan ook.
Hoe een router hack plaatsvindt
Volgens Avast onderzoekers David Jursa en Alexej Savčin, de meeste Braziliaanse gebruikers zijn die hun huis routers gehackt tijdens een bezoek aan de sport en film streaming sites, of volwassen portals.
De op deze websites, kwaadaardige advertenties (malvertising) voer de speciale code in de browser van de gebruiker om te zoeken en detecteren van het IP-adres van een router, de router model. Toen ze detecteren de router ‘ s IP en model, de kwaadaardige advertenties gebruik vervolgens een lijst van standaard gebruikersnamen en wachtwoorden in te loggen op de apparaten van gebruikers, zonder hun medeweten.
De aanvallen duren, maar de meeste gebruikers merken er niets van, omdat ze meestal bezig met het kijken van de video streams op de websites die ze net hebben bezocht.
Als de aanvallen zijn succesvol, andere schadelijke code doorgegeven door de kwaadaardige advertenties wijzigen van de standaard DNS-instellingen op de slachtoffers’, routers, het vervangen van de DNS-server IP-adressen van routers ontvangen van de upstream Isp ‘ s met de IP-adressen van DNS-servers die worden beheerd door de hackers.
De volgende keer dat de gebruikers smartphone of computer verbinding maakt met de router, dan wordt de kwaadaardige DNS-server-IP-adressen, en op deze manier trechter alle DNS-verzoeken door de aanvaller met de servers, waardoor ze kapen en omleiden van verkeer naar schadelijke klonen.
GhostDNS, Navidade, en SonarDNS
Per Avast onderzoek van hackers zijn met behulp van twee speciale pakketten voor deze aanslagen. De eerste heet GhostDNS, en is de een die is al voor het eerst gespot sinds afgelopen zomer, en het botnet beschreven door Radware en Netlab vorig jaar.
Een variant van GhostDNS, genaamd Navidade, ook verschenen in februari.
Per Avast, “Novidade probeerde te infecteren Avast gebruikers routers meer dan 2,6 miljoen keer in februari alleen en werd verspreid via drie campagnes.”
Bovendien is er, sinds het midden van April, een andere speler de markt betreden. Avast noemt deze nieuwe botnet SonarDNS omdat de aanvaller lijkt te hebben aangepast een penetratie test framework met de naam Sonar.js als de ruggengraat voor hun infrastructuur.
En Sonar.js is perfect voor de router aanvallen. Deze JavaScript bibliotheek wordt normaal gesproken gebruikt door penetration testers voor de identificatie en de lancering van exploits tegen interne netwerk hosts, en is ideaal voor het bepalen van een router van het type en het uitvoeren van exploits op het doelapparaat met slechts een paar regels code.
Avast zegt dat het gezien SonarDNS in drie verschillende campagnes van de afgelopen drie maanden, en de modus operandi blijkt te zijn na te bootsen hoe GhostDNS werkt.
Ad vervangen en cryptojacking
Maar de DNS-kaping aanvallen gericht op routers in Brazilië hebben niet stilgestaan en hebben zich ook ontwikkeld. Naast het kapen van het verkeer en het omleiden van gebruikers naar phishing-pagina ‘ s, de hacker groepen achter deze aanslagen hebben ook nog extra trucs om hun arsenaal.
De eerste is het onderscheppen van het verkeer van gebruikers en vervangen legitieme advertenties met advertenties worden gebruikt of dat het genereren van winst voor de aanvallers.
Deze tactiek is niet nieuw, per-se. In 2016, Proofpoint onderzoekers gespot op een exploit-kit die ze met de naam DNSChanger EK die hetzelfde hebben gedaan-het vervangen van legitieme advertenties met schadelijke degenen — en is waarschijnlijk de inspiratie voor wat het botnet-exploitanten targeting Brazilië nu aan het doen zijn.
Ten tweede, de exploitanten van GhostDNS, Navidade, en SonarDNS, hebben ook het implementeren van browser-based cryptojacking scripts. Deze laatste tactiek is ook gezien in Brazilië voor, vorig jaar, toen een andere groep gekaapt meer dan 200.000 Mikrotik routers en toegevoegd in-browser cryptocurrency mijnwerkers om gebruikers het web verkeer in.
Het gevaar van verspreiding naar andere landen
Maar ondanks dit alles, de DNS-wijzigen-aanvallen zijn degenen die het meest gevaarlijke van alle voor de eindgebruiker. Dit is omdat de botnet-exploitanten zijn phishing referenties van gebruikers, en het kapen van online profielen of geld stelen van gebruikers’ bankrekeningen.
Met de aanvallen zijn zo sneaky, moeilijk te detecteren, en dus winstgevend is, is nog steeds een mysterie waarom ze nog niet verspreid naar andere landen.
Het hacken van routers is zowel goedkoop en gemakkelijk. Echter, de meeste IoT botnets vandaag tot slaaf te maken van deze apparaten aan het uitvoeren van DDoS-aanvallen of fungeren als proxy ‘ s voor het slechte verkeer, brute-force, of van referenties vulling aanvallen. Met behulp van routers voor phishing zou veel meer winstgevend is.
Gebruikers die willen om veilig te blijven tegen alle Ivd-botnet dat de doelstellingen van routers voor het wijzigen van de DNS-instellingen hebben een paar opties tot hun beschikking:
Gebruik van complexe router administratie passwordsKeep routers tot dateUse aangepaste DNS-instellingen op hun apparaten, die voorkomen dat het apparaat OS van het aanvragen van eventueel besmette DNS-instellingen van de lokale router
Gerelateerde malware en cybercriminaliteit dekking:
Microsoft waarschuwt over Astaroth malware campaignRecent Windows zero-day gebruikt door Buhtrap bende voor cyber-espionageHackers geschonden Griekenland is de top-level domein registrarNew Android-malware vervangt legitieme apps met ad-aangetaste doppelgangersPale Moon zegt hackers toegevoegd malware oudere browser versionsThis nieuwe ransomware is gericht op een netwerk aangesloten opslag devicesMalware blijft hangen in het Mkb voor een gemiddelde van 800 dagen vóór de ontdekking TechRepublicRegering imposter oplichting gewoon op een all-time high, FTC, aldus CNET
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters