×
wifi-router.jpg
De afgelopen drie maanden, een cybercrime-groep is het hacken van thuis routers –meestal de D-Link-modellen– DNS-server instellingen en kapen van verkeer bedoeld voor legitieme sites en doorsturen naar kwaadaardige klonen.
De aanvallers te bedienen door het gebruik van bekende exploits in de router firmware hack in kwetsbare apparatuur en het maken van silent wijzigingen in de router de DNS-configuratie van de wijzigingen die de meeste gebruikers niet zal ooit merken.
Gerichte routers zijn de volgende modellen (het aantal aan de zijkant van elk model een overzicht van het aantal internet-blootgesteld routers, zoals gezien door de BinaryEdge search engine):
D-Link DSL-2640B – 14,327
D-Link DSL-2740R – 379
D-Link DSL-2780B – 0
D-Link DSL-526BIS – 7
ARG-W4 ADSL-routers – 0
DSLink 260E routers – 7
Secutech routers – 17
TOTOLINK routers – 2,265
Troy Mursch, oprichter en security-onderzoeker op internet monitoring onderneming Slecht Pakketten, zei hij ontdekt drie verschillende golven tijdens die hackers hebben gelanceerd aanvallen met gif-routers’ DNS-instellingen –eind December 2018, begin februari 2019, en eind Maart 2019.
De aanvallen zijn nog niet afgerond, zei hij vandaag in een rapport over deze aanslagen.
Hoe zijn de aanslagen het werk
De punt van deze router te hacken campagne was voor het injecteren van de IP-adressen van malafide DNS-servers in mensen routers. Mursch zei hackers hebben gebruikt vier IP-adressen zo ver.
Op deze vier malafide DNS-servers, hackers vervangen van de IP-adressen van legitieme websites met het IP-adres van de clone sites waar ze actief waren.
Een normale aanval zou er als volgt uitzien:
De computer van de gebruiker of smartphone ontvangt verkeerde DNS-server instellingen van de gehackte router.De gebruiker probeert toegang te krijgen tot legitieme site.Gebruiker apparaat maakt een DNS verzoek om de kwaadaardige DNS-server.Schurk server retourneert een onjuiste IP-adres voor de legitieme site.Gebruiker landt op een kloon van de legitieme site, waar hij kan worden verplicht om in te loggen en delen van zijn wachtwoord met de aanvallers.
Maar wat legitieme sites de hackers gericht tijdens deze drie campagnes blijft een mysterie, voor zowel Mursch en de andere security-onderzoekers die hebben gekeken naar deze aanvallen zo ver.
Wat de onderzoekers er achter komen waar al dit verkeer was op weg –aka de locatie van de clone sites.
“De meerderheid van de DNS-aanvragen werden omgeleid worden naar twee IPs toegewezen aan een misdaad-vriendelijke hosting provider (AS206349) en de andere wijzen naar een dienst die monetizes geparkeerd domein namen (AS395082),” zei Mursch, het citeren van een andere security-onderzoeker een tweet.
DNSChanger aanslagen zijn gebeurd voordat
Deze aanvallen zijn niet nieuw. Ze hebben zich voor en worden meestal aangeduid onder de naam van “DNSChanger,” achter de naam van de eerste malware die begonnen met het veranderen van de DNS-instellingen als een manier om het omleiden van gebruikers naar kwaadaardige servers, de weg terug in de jaren 2000.
DNSChanger incidenten zijn zeldzaam in vergelijking met andere vormen van cyber-aanvallen, maar ze zijn zeer gevaarlijk en zeer efficiënt, zij het luid en gemakkelijk te herkennen voor internet-monitoring bedrijven als Slecht Pakketten en anderen.
Afgelopen DNSChanger-aanvallen zijn een grote malvertising operatie die plaatsvond in 2016 en tijdens die kwaadaardige advertenties router exploits die gewijzigd router, DNS-instellingen en belasting van de IoT malware die besmet routers in Brazilië wijzigen van de DNS-instellingen te kapen verkeer bedoeld voor de Braziliaanse banken en doorsturen naar phishing-pagina ‘ s.
Maar DNSChanger aanvallen hebben ook gebeurd op het niveau van de natie-staat cyber-spionage groepen, en niet alleen op de cybercrime-scene. De Roaming-Mantis cyber-spionage groep ook gehackt routers op een soortgelijke manier en gewijzigde DNS-instellingen om gebruikers om te leiden naar sites hosting Android-malware in het begin van 2018.
Als voor de aanslagen die zijn gedetecteerd door Slechte Pakketten, eigenaren van de hierboven genoemde apparaten wordt aangeraden om te controleren of hun routers, DNS-instellingen en vergelijk de DNS IP-adressen met de profielen die door hun internet service provider. Een telefoontje naar de ISP ‘s call center kan nodig zijn om de IP-adressen van de ISP’ s de normale DNS-servers.
Echter, als u een van de volgende vier IP-adressen, dan is uw router de DNS-instellingen van al zijn aangetast door deze campagne, en moeten de gebruikers om te upgraden van hun router firmware zo spoedig mogelijk.
66.70.173.48
144.217.191.145
195.128.126.165
195.128.124.131
Gerelateerde malware en cybercriminaliteit dekking:
Over 58,000 Android-gebruikers had stalkerware geïnstalleerd op hun telefoons laatste yearA dozijn ONS web servers van het verspreiden van 10 malware families, Necurs link suspectedAsian vrouw met een usb-stick met malware gearresteerd Mar-a-LagoBashlite IoT malware upgrade kunt het doel WeMo home automation devicesThis wordt nieuwe malware scannen het internet voor systemen info op waardevolle targetsGustuff Android banking trojan doelen 125+ banking -, IM-en cryptocurrency apps en Hoe de Verenigde Naties helpt bij het bestrijden van de wereldwijde cybercriminaliteit TechRepublicApple verwijderd populaire app die werd stiekem stelen van uw browser geschiedenis CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters