×
wifi-router.jpg
För de senaste tre månaderna, en it-brottslighet-koncernen har hackat sig in i hem routrar, mest D-Link modeller-för att ändra DNS server inställningar och kapa trafik avsedd för legitima webbplatser och omdirigera den till skadliga kloner.
Angriparna fungera med hjälp av kända bedrifter i routerns inbyggda programvara för att hacka sig in i sårbara enheter och få tyst förändringar till routerns DNS-konfiguration, förändringar som de flesta användare kommer inte att märka någonsin.
Riktade routrar inkluderar följande modeller (antalet till sidan av varje modell listar antalet internet-utsatt-routrar, som ses av BinaryEdge search engine):
D-Link DSL-2640B – 14,327
D-Link DSL-2740R – 379
D-Link DSL-2780B – 0
D-Link DSL-526B – 7
ARG-W4 ADSL routrar – 0
DSLink 260E-routrar – 7
Secutech routrar – 17
TOTOLINK routrar – 2 265 personer
Troy Mursch, grundare och säkerhet forskare vid internet-övervakning företaget Dåliga Paket, sade han upptäckte tre olika vågor under vilken hackare har inlett angrepp av gift routers DNS-inställningar –slutet av December 2018, början av februari 2019, och i slutet av Mars 2019.
Attacker pågår fortfarande, sa han i dag i en rapport om dessa attacker.
Hur attackerna arbete
Poängen med denna router hacka kampanjen var att injicera IP-adresser för falska DNS-servrar inne i människors routrar. Mursch sa att hackare har använt fyra IP-adresser så långt.
På dessa fyra falska DNS-servrar, hackare bytas ut IP-adresser till legitima webbplatser med IP-adresser av klon platser de skulle köra.
En normal attack skulle se ut så här:
Användarens dator eller smartphone får fel DNS server inställningar från den hackade router.Användare försöker komma åt en legitim webbplats.Användarens enhet gör en DNS-förfrågan till skadlig DNS-server.Oseriösa servern returnerar en felaktig IP-adress för legitim webbplats.Användaren hamnar på en klon av den legitima plats, där han kan vara skyldig att logga in och dela med sig av sina lösenord med angriparna.
Men vad legitima webbplatser hackare riktat under dessa tre kampanjer förblir ett mysterium, för både Mursch och andra säkerhets forskare som har undersökt dessa attacker så långt.
Vad forskarna ville ta reda på var all denna trafik var på väg –aka placeringen av klon webbplatser.
“Majoriteten av DNS-förfrågningar var omdirigeras till två IPs tilldelas ett brott-vänliga webbhotell (AS206349) och en annan som pekar till en tjänst som monetizes parkerade domännamn (AS395082),” sade Mursch, med hänvisning till en annan säkerhet forskare tweet.
DNSChanger attacker har hänt förut
Dessa typer av attacker är inte ny. De har hänt förut och är vanligtvis som avses under namnet “DNSChanger,” efter namnet på den första skadlig kod som började ändra DNS-inställningarna som ett sätt att omdirigera användare till en skadlig servrar, sätt tillbaka under 2000-talet.
DNSChanger incidenter är sällsynta i jämförelse med andra typer av it-attacker, men de är mycket farliga och mycket effektiv, om än högt och lätt att upptäcka för internet-övervakning av företag som Dålig Paket och andra.
Tidigare DNSChanger attacker inkluderar en massiv skadliga annonser operation som ägde rum i och med 2016 och under vilka skadliga annonser levereras router bedrifter som ändrat routerns DNS-inställningar, och en stam av sakernas internet skadlig kod som smittade routrar i Brasilien för att ändra DNS-inställningar för att kapa trafik avsedd för Brasilianska banker och omdirigera den till en phishing-sidor.
Men DNSChanger attacker har också hänt på den nivå av nationalstaten cyber-spionage grupper, och inte bara på it-brottslighet scenen. Roaming-Mantis cyber-spionage-gruppen också hackad routrar på ett liknande sätt och ändrade DNS-inställningar för att omdirigera användare till webbplatser som värd för Android-malware i början av 2018.
Som för attacker upptäcks av Dålig Paket, ägare av ovan nämnda enheter uppmanas att kontrollera sina routrar för den DNS inställningar och jämför DNS-IP-adresser med dem som tillhandahålls av internet-leverantören. Ett telefonsamtal till ISP: s call center kan behövas för att få IP-adresser av ISP: s normal DNS-servrar.
Men, om du ser någon av följande fyra IP-adresser, då routerns DNS-inställningar har redan drabbats av denna kampanj, och användare måste uppgradera sina routerns firmware så snart som möjligt.
66.70.173.48
144.217.191.145
195.128.126.165
195.128.124.131
Relaterade skadliga program och it-brottslighet täckning:
Över 58,000 Android-användare hade stalkerware installerat på sina telefoner sista yearA dussin OSS webbservrar är att sprida 10 malware familjer, Necurs länk suspectedAsian kvinna med ett usb-minne som innehåller skadlig kod som greps på Mar-a-LagoBashlite IoT malware uppgradera låter det målet WeMo home automation devicesThis nya skadliga program skannar internet för system info om värdefulla targetsGustuff Android bank trojan mål 125+ banking, IM, och cryptocurrency apps Hur Fn hjälper till att bekämpa den globala it-relaterad brottslighet TechRepublicApple bort populär app som i hemlighet stjäla din webbläsare historia CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter