Naujas pavojus jūsų maršrutizatoriui – jau apkrėsta virš 100 000 įrenginių, vagiami prisijungimo duomenys prie bankų.

Kinijos kibernetinio saugumo tyrėjai atskleidė plačiai paplitusią ir tebevykstančią kenkėjiškos programinės įrangos kampaniją, kuri jau paveikė daugiau kaip 100 000 namų internetinio ryšio maršrutizatorių ir pakeitė jų DNS nustatymus, kad nukreiptų vartotojus į apgaulingus tinklalapius ypač į bankininkystės sektoriaus ir vagia jų registracijos duomenis.

Pavadinta „GhostDNS“, kampanija turi daug panašumų su „DNSChanger“ kenkėjiška programa, kuri veikia pakeitus DNS serverio nustatymus užkrėstame įrenginyje, todėl užpuolikai gali nukreipti naudotojų interneto srautą per kenkėjiškus serverius ir pavogti slaptus duomenis

Pagal naują kibernetinio saugumo bendrovės „Qihoo 360 NetLab“ ataskaitą, kaip ir per „DNSChanger“ kampaniją, „GhostDNS“ nuskaito maršrutizatorių IP adresus ir kuriuose įrenginiuose palikti gamykliniai nustatymai arba iš viso be slaptažodžių, pasiekia maršrutizatorių nustatymus ir pakeičia maršrutizatoriaus numatytąjį DNS adresą į tą, kurį kontroliuoja užpuolikai

  1. DNSChanger modulis: tai pagrindinis „GhostDNS“ modulis, skirtas naudoti tikslinę informaciją remiantis maršrutizatorius surinkta informacija.DNSChanger modulis susideda iš trijų modulių, kuriuos mokslininkai pavadino „Shell DNSChanger“, „Js DNSChanger“ ir „PyPhp DNSChanger“
    1. Shell DNSChanger – parašyta Shell programavimo kalba, šis submodulis sujungia 25 scenarijus, kurie gali pakeisti slaptažodžius maršrutizatoriuose arba programinės įrangos paketuose iš 21 skirtingo gamintojo
    2. Js DNSChanger – daugiausiai parašytas „JavaScript“, šis submodulis apima 10 atakų scenarijų, skirtų užkrėsti 6 maršrutizatorius arba programinės įrangos paketus„Jo funkcinė struktūra padalinta į skenavimą, paketų generatorių ir atakų programas. „Js DNSChanger“ programa paprastai jau būna įdiegta sukčiavimo svetainėse, todėl ji veikia kartu su „Phishing Web System“, – teigia mokslininkai
    3. PyPhp DNSChanger – parašytas tiek Python, tiek PHP šis submodulis turi 69 atakų scenarijus, palyginti su 47 skirtingais maršrutizatoriais ir buvo aptiktas daugiau nei 100 serverių, iš kurių dauguma yra „Google“ debesyje, ir apima tokias funkcijas kaip „Web API“, „Scanner“ ir „Attack“ moduliaiŠis modulis yra pagrindinis „DNSChanger“ modulis, kuris leidžia užpuolikai nuskaityti internetą ir rasti pažeidžiamus maršrutizatorius
  2. Web modulio administratorius: nors mokslininkai dar neturi daug informacijos apie šį modulį, atrodo, kad po juo slepiasi administratoriaus skydas, apsaugotas prisijungimo puslapiu
  3. „Rogue DNS“ modulis: šis modulis yra atsakingas už tikslinių domenų vardų iš užpuolikų valdomų žiniatinklio serverių, daugiausia susijusios su banko ir debesų prieglobos paslaugomis ir domeno, kuris priklauso apsaugos bendrovei „Avira“ adresavimą„Mes neturime prieigos prie „Rouge DNS“ serverio, todėl negalime tiksliai pasakyti, kiek DNS vardų buvo užgrobta, tačiau užklausę „Alexa Top1M“ ir „DNSMon Top1M“ domenus apie kenkėjišką DNS serverį (139.60.162.188), sugebėjome rasti iš viso 52 domenus, kurie buvo užgrobti “, – teigia „NetLab“ mokslininkai
  4. Žiniatinklio sukčiavimo modulis: kai tikslinis domenas sėkmingai pakeičiamas nesąžiningais DNS moduliais, sukčiavimo žiniatinklyje modulis siekia sukurti tinkamą šios konkrečios svetainės versiją

Pasak mokslininkų, nuo rugsėjo 21 iki 27 d. „GhostDNS“ apkrėtė daugiau nei 100 000 maršrutizatorių, iš kurių 87,8 procentai įrenginių (tai yra 87 800) yra tik Brazilijoje, o tai reiškia, kad pagrindinis „GhostDNS“ užpuolikų tikslas yra Brazilija

Kadangi „GhostDNS“ kampanija labai išplėsta, ji naudoja skirtingą atakos vektorių ir priima automatinį užpuolimo procesą, tai kelia realią grėsmę vartotojams. Todėl vartotojams patariama apsisaugoti

 

Kaip apsaugoti savo namų maršrutizatorių nuo įsilaužėlių

 

Siekiant išvengti tokių atakų aukos, rekomenduojama užtikrinti, kad jūsų maršrutizatorius naudotų naujausią aparatinės įrangos versiją ir nustatytų stiprų prisijungimo per naršyklę slaptažodį

Taip pat galite apsvarstyti išjungti nuotolinį administravimą, pakeisti numatytąjį vietinį IP adresą ir patikimą DNS serverio adresą susivestią į savo maršrutizatorių ar operacinę sistemą

„NetLab“ tyrėjai taip pat rekomendavo maršrutizatorių tiekėjams padidinti maršrutizatoriaus numatytojo slaptažodžio sudėtingumą ir pagerinti jų produktų saugos naujinimo mechanizmą

 

Užkrėsti maršrutizatoriai

 

  • AirRouter AirOS
  • Antena PQWS240
  • C3-TECH Router
  • Cisco Router
  • D-LINK DIR-60
  • D-LINK DIR-61
  • D-LINK DIR-61
  • D-LINK DIR-905L
  • D-LINK ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 10
  • GPON ONU
  • Greatek
  • GWR 12
  • Huawei
  • Intelbras WRN 15
  • Intelbras WRN 24
  • Intelbras WRN 30
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR30
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300 Mbps
  • Roteador WRN15
  • Roteador WRN34
  • Sapido RB-183
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N Broadband Router
  • Thomson
  • TP-Link Archer C
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG routers firmware
  • ZXHN H208N
  • Zyxel VMG331

 

Šaltinis: www.technologijos.lt

 

Komentarai