Злоумышленники взломали тысячи роутеров D-link и перенаправляли их владельцев на зловредные ресурсы

imageГруппа злоумышленников в течение продолжительного времени эксплуатировала уязвимость в ряде моделей роутеров компании Dlink. Найденная дыра позволяет удаленно изменять настройки DNS-сервера роутера, с тем, чтобы перенаправлять пользователя устройства на ресурс, который создан самими злоумышленниками. Дальнейшее зависит от выбора самих киберпреступников — они могут похищать учетные записи жертв или же предлагать услуги, которые выглядят, как вполне «белый» сервис от банка.

Уязвимость актуальна для таких моделей, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Их редко кто обновляет, так что злоумышленники могут использовать уязвимости устаревших прошивок без проблем. О деталях можно подробно почитать здесь и здесь.
Первыми о проблеме узнали представители компании Radware, специализирующейся на вопросах кибербезопасности. Как оказалось, все это было задумано злоумышленниками для того, чтобы получить доступ к учетным записям клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco. Вместо серверов банковской сети пользователи попадали на серверы, находившиеся под управлением хакеров.

При этом пользователи никак не могли понять, что происходит — их не пытались обмануть фишинговыми ссылками и различными всплывающими окнами. Просто вместо сайта банка пользователь попадал на поддельный сайт, который не вызывал практически никаких опасений. Естественно, переход на malware-ресурс выполнялся даже в том случае, если пользователь кликал по ссылке в «Избранном» своего браузера или же по URL-ярлыку, размещенном на рабочем столе.

Аналогичным образом переход происходил в том случае, если вместо ПК пользователь работал с планшетом, телефоном или любым другим устройством под управлением любой ОС. Главное условие для выполнения malware-перехода — подключение к скомпрометированному роутеру.

Сайты бразильских банков были выбраны потому, что доступ к ним может быть получен по HTTP, без защиты. Так что посетители не получают никаких сообщений о том, что сайт, на который они перенаправляются — вредоносный. Если же у пользователя HTTPS установлен по умолчанию, то в этом случае потенциальная жертва получает сообщение о проблеме с сертификатом. Но при этом есть опция «согласиться», и если пользователь ее выбирает, что делает большинство пользователей, то перенаправление работает без всяких проблем. Кроме того, вредоносный сайт «притворяется» вполне нормальным. Если пользователь залогинен на реальном сайте банка, то его данные перенаправляются на сервер злоумышленников. Сайт контролируется с того же IP, что и DNS-сервер злоумышленников.

Сайт, на который осуществляется переход, один в один похож на реальный ресурс банка, так что не слишком продвинутые в техническом плане пользователи могут быть с легкостью обмануты. Насколько можно понять, сайт злоумышленников пока не настроен, сходство пока чисто внешнее, без функционала банковского сайта (подделать и это — не слишком сложно).

После того, как компания, обнаружившая атаку, сообщила о проблеме, зловредный DNS- ресурс и фейковый сайты были закрыты хостинг-компанией, который принадлежит сервер. Правда, это причиняет определенные неудобства владельцам «модернизированных» роутеров. Дело в том, что поскольку DNS-сервер изменен на вредоносные в настройках оборудования, оно больше не способно давать доступ к сети без вторичной настройки. Сделать это просто, но если у пользователя нет опыта и понимая, что происходит, проблема может стать серьезной.

На данный момент это одна из крупнейших атак с использованием роутеров. В мае сообщалось о схожей атаке. Тогда было инфицировано около полумиллиона сетевых устройств разных производителей. После того, как представители ФБР узнали о проблеме, они предупредили сервис VPNFilter, с которым работало ПО злоумышленников, и проблему тоже удалось решить.

Да и раньше проблемы подобного рода случались. Так в 2016 году malware, известное, как DNSChanger стало причиной выполнения зараженными роутерами команд злоумышленников. Тогда также использовался вредоносный DNS-сервер. И точно также, как и сейчас, осуществлялся переход на вредоносные ресурсы, принадлежавшие злоумышленникам.

Наилучшая защита от атак такого рода — во-первых, обновлять прошивку оборудования, во-вторых, использовать надежный пароль. Кроме того, можно изменить DNS на проверенный — например, 1.1.1.1 от Cloudflare или 8.8.8.8 от Google.

© Habrahabr.ru