×
wifi-router.jpg
For de seneste tre måneder, et it-kriminalitet gruppe har været et indbrud i hjemmet routere –for det meste D-Link modeller– at ændre DNS-indstillinger for en server, og kapre trafik beregnet til legitime websteder, og omdirigere den til en ondsindet kloner.
Hackerne opererer ved hjælp af kendte exploits i routerens firmware til at trænge ind i sårbare enheder og gøre tavs ændringer til router ‘ ens DNS-konfiguration, kan ændringer, som de fleste brugere vil ikke nogensinde varsel.
Målrettet routere omfatter følgende modeller (tallet til den side af hver model viser antallet af internet-udsat routere, som det ses af BinaryEdge søgemaskine):
D-Link DSL-2640B – 14,327
D-Link DSL-2740R – 379
D-Link DSL-2780B – 0
D-Link DSL-526B – 7
ARG-W4 ADSL-routere – 0
DSLink 260E routere – 7
Secutech routere – 17
TOTOLINK routere – 2,265
Troy Mursch, grundlægger og sikkerhed, forsker i overvågning af internettet-firma Bad Pakker, sagde han fundet tre forskellige bølger under, som hackere har iværksat angreb til at forgifte routere’ DNS-indstillinger –slutningen af December 2018, begyndelsen af februar 2019, og i slutningen af Marts 2019.
Angreb er stadig i gang, han sagde i dag i en rapport om disse angreb.
Hvordan angrebene arbejde
Pointen med denne router hacking kampagne var at injicere IP-adresser af rogue DNS-servere inde i folks routere. Mursch sagde hackere har brugt fire IP-adresser, så langt.
På disse fire rogue DNS-servere, hackere erstattet af IP-adresser fra legitime websteder med IP-adresser klon steder, de var kørende.
En normal angreb vil se ud som dette:
Brugerens computer eller smartphone modtager forkerte DNS-server-indstillinger fra de hackede router.Brugeren forsøger at få adgang til legitime websted.Brugerens enhed gør en DNS-forespørgsel til den ondsindede DNS-server.Rogue-server returnerer en forkert IP-adresse til det legitime websted.Brugeren lander på en klon af det legitime websted, hvor han kan være forpligtet til at logge ind og dele sit password med angriberne.
Men hvad legitime websteder hackere målrettet i løbet af de tre kampagner er stadig et mysterium, for både Mursch og de andre sikkerheds-forskere, der har kigget på disse angreb så langt.
Hvad forskerne fandt ud af var hvor alle denne trafik var på vej –aka placeringen af klon-sites.
“De fleste af DNS-anmodninger blev omdirigeret til to Ip’ er afsat til en forbrydelse-venligt-hosting-udbyder (AS206349), og en anden, der peger på en tjeneste, der monetizes parkeret domæne navne (AS395082),” sagde Mursch, citerer en anden sikkerhedsekspert ‘ s tweet.
DNSChanger angreb er sket før
Disse typer af angreb er ikke nyt. De har sket før, og er normalt omtales under navn af “DNSChanger,” efter navnet på den første malware, der begyndte at ændre DNS-indstillinger som en måde at omdirigere brugere til ondsindede servere, helt tilbage i 2000’erne.
DNSChanger hændelser er sjældne i forhold til andre former for cyber-angreb, men de er ekstremt farlige og meget effektiv, omend højt og let at få øje på for internet-overvågning firmaer som Dårlige-Pakker og andre.
Tidligere DNSChanger angreb omfatter en massiv malvertising operation, der fandt sted i 2016 og under hvilke ondsindede annoncer, der leveres router udnytter, at skiftet router DNS-indstillinger, og en stamme af IoT-malware, der har inficeret routere i Brasilien for at ændre DNS-indstillinger for at kapre trafik beregnet til Brasilianske banker og omdirigere den til en phishing-sider.
Men DNSChanger angreb har der også er sket på niveau med nation-state cyber-spionage grupper, og ikke blot om it-kriminalitet scene. Roaming Mantis cyber-spionage-gruppen også hacket routere på samme måde og har ændret DNS-indstillinger for at omdirigere brugere til websteder, hosting Android-malware i begyndelsen af 2018.
Som for de angreb, der er registreret som Dårlige Pakker, ejere af de ovennævnte enheder rådes til at kontrollere deres routere’ DNS-indstillinger og sammenligne DNS IP-adresser med dem, der er fastsat af deres internet service provider. Et telefonopkald til ISP ‘s call center kan der være behov for at få IP-adresser af ISP’ s normale DNS-servere.
Men, hvis du ser nogen af de følgende fire IP-adresser, så din router ‘ s DNS-indstillingerne allerede er blevet kompromitteret af denne kampagne, og brugerne har brug for at opgradere routerens firmware så hurtigt som muligt.
66.70.173.48
144.217.191.145
195.128.126.165
195.128.124.131
Relaterede malware og it-kriminalitet dækning:
Over 58,000 Android-brugere havde stalkerware installeret på deres telefoner i sidste yearA dusin AMERIKANSKE web-servere er spredning 10 malware familier, Necurs link suspectedAsian kvinde med en tommelfinger drev, der indeholder malware anholdt på Mar-a-LagoBashlite IoT malware opgradering lader det mål WeMo home automation devicesThis ny malware scanner internettet for systemer info om værdifulde targetsGustuff Android-banking trojanske mål 125+ banking, IM, og cryptocurrency apps, Hvordan Fn ‘ s hjælper med at bekæmpe globale it-kriminalitet TechRepublicApple fjernet populære app, der blev hemmeligt at stjæle din browser historie CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre