Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Przestępcy przejęli kontrolę nad 100 000 ruterów

Recommended Posts

Cyberprzestępcy wprowadzili zmiany w serwerze DNS w ponad 100 000 ruterów na całym świecie. Dzięki temu są w stanie przekierować cały ruch przechodzący przez takie rutery. Pozwala im to np. na przeprowadzanie ataków phishingowych, podczas których zdobędą dane użytkowników czy uzyskają dostęp do ich kont bankowych.

Atak na serwery DNS ruterów nie jest niczym nowym. Jednak ten, do którego doszło 20 września wyróżniał się olbrzymią skalą.
Do ataku dochodziło, gdy ofiara odwiedziła witrynę, na której znajdował się odpowiedni skrypt. Był on wykonywany na komputerze ofiary i sprawdzał, czy w sieci wewnętrznej otwarte są konkretne porty. Następnie dochodziło do próby logowania się na ruter na prawach administratora. Używano przy tym metody brute force. Jako, że wielu użytkowników nie zmienia fabrycznych haseł i loginów, metoda ta w wielu przypadkach zadziałała. Po zalogowaniu na ruter przestępcy mogli zmieniać dane zapisane w serwerze DNS.

Wiadomo, że atak działa przeciwko ponad 70 modelom ruterów. Są wśród nich produkty takich firm jak 3COM, D-LINK, Huawei, TP-LINK, Intelbras, MikroTiK czy TRIZ. Ofiarą cyberprzestępców padło ponad 100 000 ruterów, w większości znajdujących się w Brazylii. Wiadomo, że ich użytkownicy są przekierowywani na fałszywe witryny banków, firm hostingowych czy Netfliksa.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Ja myślę, że informacja jest trochę niedokładna. Oni po prostu spowodowali, że routery używały innych serwerów DNS niż normalnie (DNS to serwer, który na pytanie o nazwę domeny odpowiada jej adresem IP, czyli tłumaczy np. człowiekowe 'kopalniawiedzy.pl'  na sieciowe 172.104.129.106). A te inne serwery DNS podsuwały nieprawdziwe adresy IP niektórych stron, przez co użytkownicy widzieli zamiast oryginałów witryn coś innego (spreparowane klony, przeznaczone do kradzieży danych, głównie haseł).

Co ciekawe, przygotowanie do podobnego ataku oglądam od dłuższego czasu u siebie w pracy. Non stop coś z zewnątrz (głównie są to konta należące do google'a - adresy IP zaczynające się od 35) wysyła na serwer takie wywołania, licząc, że zmieni konfigurację DNS:

/dnscfg.cgi?dnsPrimary=139.60.162.188&dnsSecondary=139.60.162.201&dnsDynamic=0&dnsRefresh=1

Te próby ataku lecą cały czas z automatu i po całym internecie. Nie wymagają żadnego kliknięcia czegokolwiek, a tylko routera podłączonego do sieci.

Podejrzewam, że gdyby zamiast serwera takie wywołanie dostał jakiś podatny na atak router, to każdy użytkownik tego routera otrzymywałby adres IP każdej odwiedzanej strony z jakiegoś dziwnego serwera DNS (to co do mnie docierało było ustawione na Kanadę, USA i Brazylię właśnie). Aha, na początku wysyłałem to na googlowe abuse, ale oni tam chyba mają ważniejsze rzeczy na głowie, więc teraz tylko ubogacam sobie czarną listę.

 

Share this post


Link to post
Share on other sites
7 godzin temu, Przemek Kobel napisał:

Non stop coś z zewnątrz (głównie są to konta należące do google'a - adresy IP zaczynające się od 35)

Proste skrypty wykonywane w chmurach googla? Np. coś podobnego do https://www.exploit-db.com/exploits/42195/

Cytat
Description: 
#  The vulnerability exist in the web interface, which is
#  accessible without authentication.

Atak z artykułu to rozwinięcie takiego ataku: https://www.proofpoint.com/us/threat-insight/post/Phish-Pharm

7 godzin temu, Przemek Kobel napisał:

Ja myślę, że informacja jest trochę niedokładna.

Ja bym się przyczepił tylko do tych zdań:

W dniu 2.10.2018 o 12:34, KopalniaWiedzy.pl napisał:

Dzięki temu są w stanie przekierować cały ruch przechodzący przez takie rutery.

W dniu 2.10.2018 o 12:34, KopalniaWiedzy.pl napisał:

Używano przy tym metody brute force.

 

 

Share this post


Link to post
Share on other sites
10 minutes ago, Delor said:

Proste skrypty wykonywane w chmurach googla?

Większość rzeczy w komputerach jest prosta (np. bramka NAND). Zabawa się zaczyna, kiedy tych prostych rzeczy trochę się nazbiera. Na przykład z bramek NAND (wyłącznie z nich) można zbudować cały komputer, a społeczna lista adresów IP, z których w ciągu ostatnich 48 godzin odpalono różne takie proste skrypty ma teraz ile - 50 tysięcy wpisów? Ktoś jeszcze nad tym panuje?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...