Znajdź zawartość

Cyberprzestępcy wprowadzili zmiany w serwerze DNS w ponad 100 000 ruterów na całym świecie. Dzięki temu są w stanie przekierować cały ruch przechodzący przez takie rutery. Pozwala im to np. na przeprowadzanie ataków phishingowych, podczas których zdobędą dane użytkowników czy uzyskają dostęp do ich kont bankowych. Atak na serwery DNS ruterów nie jest niczym nowym. Jednak ten, do którego doszło 20 września wyróżniał się olbrzymią skalą. Do ataku dochodziło, gdy ofiara odwiedziła witrynę, na której znajdował się odpowiedni skrypt. Był on wykonywany na komputerze ofiary i sprawdzał, czy w sieci wewnętrznej otwarte są konkretne porty. Następnie dochodziło do próby logowania się na ruter na prawach administratora. Używano przy tym metody brute force. Jako, że wielu użytkowników nie zmienia fabrycznych haseł i loginów, metoda ta w wielu przypadkach zadziałała. Po zalogowaniu na ruter przestępcy mogli zmieniać dane zapisane w serwerze DNS. Wiadomo, że atak działa przeciwko ponad 70 modelom ruterów. Są wśród nich produkty takich firm jak 3COM, D-LINK, Huawei, TP-LINK, Intelbras, MikroTiK czy TRIZ. Ofiarą cyberprzestępców padło ponad 100 000 ruterów, w większości znajdujących się w Brazylii. Wiadomo, że ich użytkownicy są przekierowywani na fałszywe witryny banków, firm hostingowych czy Netfliksa. « powrót do artykułu

FBI radzi użytkownikom niewielkich ruterów przeznaczonych dla domu i małej firmy, by jak najszybciej zrestartowali swoje urządzenie. To sposób obrony przed cyberatakiem ze strony rosyjskiego szkodliwego kodu, który już zaraził setki tysięcy takich urządzeń. Szkodliwy kod o nazwie VPNFilter bierze na celownik niewielkie urządzenia, z których po zarażeniu kradnie informacje. Ma też możliwości blokowania ruchu w sieci. Wiadomo, że kod atakuje rutery wielu producentów oraz urządzenia NAS co najmniej jednego producenta. Obecnie nie wiadomo, w jaki sposób dochodzi do infekcji. Wiadomo za to, że VPNFilter może kraść informacje i blokować zarażone urządzenia. Analiza aktywności sieciowej szkodliwego kodu jest skomplikowana, gdyż jego twórcy wykorzystali szyfrowanie. FBI radzi, by użytkownicy niewielkich ruterów zrestartowali urządzenia, co czasowo zakłóci pracę szkodliwego kodu i potencjalnie ułatwi zidentyfikowanie zainfekowanych urządzeń. Oczywiście użytkownicy powinni też pamiętać o chronieniu swoich urządzeń silnymi hasłami. Należy też rozważyć wyłączenie opcji zdalnego zarządzania urządzeniem. FBI współpracuje z niedochodową organizacją Shadow Foundation w celu zidentyfikowania zainfekowanych urządzeń oraz powiadomienia o tym fakcie dostawców internetu i władz odpowiednich krajów, którzy mogą następnie poinformować użytkownika urządzenia o problemie. VPNFilter został odkryty przez pracowników należącej do Cisco firmy Talos. Ich zdaniem mamy tu do czynienia z atakiem przygotowanym przez któreś z państw. Kod VPNFilter jest w wielu miejscach podobny do kodu BlackEnergy, który był wykorzystywany podczas wielu dużych ataków na cele na Ukrainie. Specjaliści oceniają, że VPNFilter zainfekował co najmniej 500 000 urządzeń w co najmniej 54 krajach. Ofiarami ataku padają m.in. rutery firm Linksys, MikroTik, NETGEAR, TP-Link oraz urządzenia NAS firmy QNAP. « powrót do artykułu