Zmasowany atak na routery polskich użytkowników. Orange blokuje fałszywe DNS-y.

Nawet 1,2 miliona Polaków może paść ofiarą zmasowanego ataku na ich routery. Wszystko za sprawą luki w oprogramowaniu, która umożliwia cyberoszustom przejęcie kontroli nad urządzeniem i zmianę ustawień DNS, tak aby przekierować użytkowników na fałszywą stronę banku.

Na początku stycznia Abdelli Nassereddine (MrNasro), algierski specjalista od zabezpieczeń, zidentyfikował i opisał poważną lukę w systemie ZyNOS, która pozwala internetowym przestępcom na przejęcie zdalnej kontroli nad routerem. Problem dotyczy m.in. wybranych modeli urządzeń firmy ZyXEL, TP-Link, Pentagram, AirLive i ZTE, w których zainstalowano dziurawe oprogramowanie.

Orange Polska CERT donosi również, że podatność może dotyczyć niewielkiej liczby modemów szerokopasmowych używanych w sieci tego operatora. Opisywanego błędu w oprogramowaniu nie mają natomiast modemy Livebox.

Bez uwierzytelnienia

MrNasro zauważył, że bez uwierzytelnienia można wyświetlić stronę panelu zarządzania, która pozwala utworzyć kopię zapasową konfiguracji routera, a następnie pobrać wygenerowany w ten sposób plik z danymi, posługując się domyślną ścieżką http://adres-IP-routera/rom-0. Teraz wystarczy tylko niewielki program, aby rozkodować poświadczenia logowania i uzyskać zdalny dostęp do routera ofiary.

Luka ta otwiera na oścież drzwi, które mogą stać się początkiem dla różnej maści ataków internetowych, z których najgroźniejsze wydają się te związane z kradzieżą pieniędzy z kont bankowych niczego nieświadomych internautów.

TP-Link TD-W8951ND. To w tym modelu MrNasro zidentyfikował lukę w zabezpieczeniach systemu ZyNOS. Z oprogramowania tego korzysta jednak wielu innych producentów sprzętu sieciowego. Źródło: TP-Link.

TP-Link TD-W8951ND. To w tym modelu MrNasro zidentyfikował lukę w zabezpieczeniach systemu ZyNOS. Z oprogramowania tego korzysta jednak wielu innych producentów sprzętu sieciowego. Źródło: TP-Link.

Orange blokuje DNS-y

Wykryta luka została szeroko opisana przez serwis Niebezpiecznik.pl już w styczniu tego roku. Sprawą zajął się również dział bezpieczeństwa Orange Polska CERT, który udostępnił nawet prostą aplikację, pozwalającą sprawdzić, czy twój modem/router jest podatny na nowe zagrożenie.

Wszystko to odbyło się jednak bez większego rozgłosu, aż do czasu, kiedy Orange zdecydował się zablokować dostęp do puli adresów IP, pod którymi przestępcy uruchomili fałszywe serwery DNS. Powodem takiej decyzji okazał się zmasowany atak na polskich użytkowników internetu, których routery padły łatwym łupem cyberoszustów.

Tym samym, z dnia na dzień, duża liczba klientów Orange została automatycznie odcięta od Internetu. Awaria na łączach? Nic z tych rzeczy. Z całą pewnością było to świadome i zdecydowane posunięcie ze strony Orange, podjęte w celu ochrony użytkowników. Jednocześnie dzięki zastosowanej blokadzie, wiele osób dowiedziało się, że ich routery, sieć komputerowa i komputery stały się celem zmyślnego cyberataku, inicjowanego prawdopodobnie z Polski.

Netia kontratakuje

Na ataki sieciowe szybko zareagowała również Netia. W odróżnieniu od Orange, operator ten nie zdecydował się jednak na całkowite zablokowanie serwerów DNS-ów należących do oszustów internetowych.

Zamiast tego, zapytania skierowane do fałszywych serwerów DNS są automatycznie przekierowywane na legalne DNS-y Netii. Według operatora, rozwiązanie to jest bardziej skuteczne i mniej uciążliwe dla klientów. Problem w tym, że w ten sposób wielu użytkowników nigdy nie zauważy faktu, że cyberprzestępcy przejęli kontrolę nad ich routerem.

16 000 zł wypłynęło z konta

Kilka dni temu Niebezpiecznik.pl opisał sytuację, w której jeden z czytelników serwisów stracił z rachunku bankowego aż 16 tysięcy złotych. Cyberprzestępcy znaleźli lukę w routerze AirLive WT-2000ARM, dzięki czemu udało się im zmodyfikować ustawienia serwerów DNS i przekierować użytkownika na fałszywą stronę banku.

Jednocześnie oszuści wykorzystali naiwność ofiary, skłaniając ją do zdefiniowania w ramach konta bankowego nowego przelewu do zaufanego odbiorcy. Numer konta podesłali w treści wiadomości e-mail, a pretekstem do wprowadzenia zmian na rachunkach miało być niedawne połączenie mBanku z Multibankiem.

Kiedy ofiara, korzystając z fałszywej strony banku, zdecydowała się na wykonanie tej operacji, cyberoszuści, przy użyciu przejętych danych logowania i kodu autoryzacyjnego, wykonali prawdziwy przelew, wyprowadzając pieniądze z konta.


Zobacz również