×
wifi-router.jpg
Per gli ultimi tre mesi, un gruppo sportivo è stato hacking nel router di casa, soprattutto D-Link i modelli-per modificare le impostazioni del server DNS e dirottare il traffico destinato per i siti legittimi e reindirizzare verso dannoso cloni.
Gli aggressori utilizzano i ben noti exploit nel router firmware hack in dispositivi vulnerabili e rendere silenziosa modifiche al router, DNS, configurazione, i cambiamenti che la maggior parte degli utenti non noti mai.
Mirate i router sono i seguenti modelli (il numero a fianco di ogni modello è indicato il numero di internet esposti router, come si è visto dalla BinaryEdge motore di ricerca):
D-Link DSL-2640B – 14,327
D-Link DSL-2740R – 379
D-Link DSL-2780B – 0
D-Link DSL-526B – 7
ARG-W4 router ADSL – 0
DSLink 260E router – 7
Secutech router – 17
TOTOLINK router – 2,265
Troy Mursch, fondatore e ricercatore di sicurezza presso il monitoraggio di internet, impresa di Bad Packets, ha detto che ha rilevato tre distinte onde durante il quale gli hacker hanno lanciato attacchi al veleno router DNS impostazioni –fine di dicembre 2018, a inizio febbraio 2019, e la fine di Marzo 2019.
Gli attacchi sono ancora in corso, ha detto oggi in un report su questi attacchi.
Come gli attacchi di lavoro
Il punto di questo router hacking campagna è stato quello di iniettare gli indirizzi IP di rogue server DNS all’interno del popolo router. Mursch detto che gli hacker hanno utilizzato quattro indirizzi IP finora.
Su questi quattro rogue server DNS, gli hacker hanno sostituito gli indirizzi IP dei siti legittimi con gli indirizzi IP dei siti clone di essi è in esecuzione.
Un attacco normale sarebbe simile a questa:
Utente del computer o smartphone riceve sbagliato le impostazioni del server DNS da violati router.Utente tenta di accedere a siti legittimi.Dispositivo dell’utente fa una richiesta al DNS per il server DNS dannoso.Rogue server restituisce un indirizzo IP non corretto per il sito legittimo.Utente atterra su un clone del sito legittimo, in cui potrebbe essere necessario accedere e condividere la propria password con gli attaccanti.
Ma che cosa legittima siti hacker mirati durante questi tre campagne rimane un mistero, sia per Mursch e la sicurezza di altri ricercatori che hanno esaminato questi attacchi così lontano.
Quello che i ricercatori hanno trovato era in cui tutto questo traffico voce –aka la posizione del clone siti.
“La maggior parte delle richieste DNS venivano reindirizzati a due IPs assegnati a un crimine-friendly fornitore di hosting (AS206349) e l’altro che punta a un servizio che monetizza parcheggiata nomi di dominio (AS395082),” ha detto Mursch, citando un altro ricercatore di sicurezza del tweet.
DNSChanger attacchi sono successe prima
Questi tipi di attacchi non sono nuovi. Che è accaduto prima e di solito sono indicati sotto il nome di “DNSChanger,” dopo il nome del primo malware che iniziato a cambiare le impostazioni DNS come un modo per reindirizzare gli utenti ai server malevoli, nel 2000.
DNSChanger incidenti sono rari in confronto ad altri tipi di cyber-attacchi, ma sono estremamente pericolosi e molto efficiente, anche se forte e facile da spot per internet-monitoraggio delle imprese e il Male sono i Pacchetti e gli altri.
Passato DNSChanger attacchi includono una massiccia malvertising operazione che è avvenuta nel 2016 e durante la quale annunci dannosi consegnato router exploit che ha cambiato router, le impostazioni DNS, e un ceppo di IoT malware che infetta i router in Brasile per modificare le impostazioni DNS di dirottare il traffico di significato per il Brasiliano banche e reindirizzare a pagine di phishing.
Ma DNSChanger attacchi sono capitato anche a livello di stato-nazione cyber-spionaggio gruppi, e non solo sulla scena del crimine informatico. Il Roaming Mantis cyber-spionaggio gruppo compromesso router in modo simile e cambiato le impostazioni DNS per reindirizzare gli utenti a siti contenenti malware Android nei primi 2018.
Come per gli attacchi rilevati da Bad Packets, i proprietari dei suddetti dispositivi elencati sono invitati a consultare il loro router le impostazioni DNS e confrontare gli indirizzi IP di DNS con quelli forniti dal provider del servizio internet. Una telefonata al provider di servizi internet call center possono essere necessari per ottenere gli indirizzi IP dell’ISP server DNS normali.
Tuttavia, se si verifica uno dei seguenti quattro indirizzi IP, il router e le impostazioni DNS sono già stati compromessi da questa campagna, e gli utenti devono aggiornare il proprio firmware del router il più presto possibile.
66.70.173.48
144.217.191.145
195.128.126.165
195.128.124.131
Correlati malware e attacchi informatici di copertura:
Oltre 58.000 utenti Android erano stalkerware installato sul proprio telefono la scorsa yearA dozzina di NOI il server web si stanno diffondendo 10 famiglie di malware, Necurs link suspectedAsian donna con una pen drive contenente il malware arrestato a Mar-un-LagoBashlite IoT malware aggiornamento consente di destinazione WeMo home automation devicesThis il nuovo malware è la scansione di internet per i sistemi di informazioni preziose targetsGustuff Android trojan bancario obiettivi 125+ bancario, IM, e cryptocurrency applicazioni Come le Nazioni Unite, aiuta a combattere la criminalità informatica globale TechRepublicApple rimosso popolare applicazione che è stato segretamente rubare la cronologia del browser CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati