Duża kampania DNS hijacking uderza w rutery D-Link

W ciągu ostatnich trzech miesięcy odnotowano szereg ataków na rutery, zwłaszcza marki D-Link. Wszystkie łączy jedno - próba wykorzystania exploita w Google Cloud Platform (AS15169).

DNS hijacking to złośliwa zmiana ustawień DNS rutera, która może nastąpić poprzez działanie szkodliwego programowania na połączonym z nim urządzeniu - komputerze, laptopie, smartfonie. Umożliwia to między innymi przekierowywanie ruchu, co pozwala hakerowi na przejęcie wpisywanych przez użytkownika informacji lub przekierowanie go na spreparowane strony, np. banków. Pozwala to cyberzpestępcom na wchodzenia w posiadanie informacji dających dostęp do pieniędzy, ważnych informacji, itp.

W wykrytej kampanii odkryto cztery serwery zajmujące się takimi przekierowaniem ruchu. Pierwsza fala ataków miała miejsce 29 grudnia 2018. Poinformowała o nim zajmująca się zagrożeniami sieciowymi strona Bad Packets.

Ataki wymierzone były w rutery D-Link DSL, w tym takie modele, jak:

  • D-Link DSL-2640B
  • D-Link DSL-2740R
  • D-Link DSL-2780B
  • D-Link DSL-526B

Adres IP serwera DNS użytego do ataku to 66.70.173.48 i był hostowany przez OVH Canada.

Druga kampania została przeprowadzona 6 lutego b.r. Dotyczyła tych samych ruterów, ale serwer DNS miał tym razem numer 144.217.191.145 i również znajdował w OVH Canada. Większość zapytań DNS była przekierowywana do dwóch adresów IP na bułgarskim BlueAngelHost Pvt, gdzie zaparkowano nazwy domen. Trzecia fala, 26 marca 2019, pochodziła z trzech hostów w Google Cloud Platform i obejmowała znacznie większą liczbę routerów, w tym Secutech, TOTOLINK i ARG-W4 ADSL, DSLink 260E. Użyte do ataku serwery miały IP 195.128.126.165 i 195.128.124.131, a hostował je rosyjski Inoventica Services, któremu dostęp do internetu dawał Garant-Park-Internet Ltd (AS47196).

Ilość zaatakowanych urządzeń

Jak wiele urządzeń zostało zaatakowanych? Jak podaje Binary Edge, ich liczba to ponad 16 tysięcy, a w podziale na modele wygląda to następująco:

  • D-Link DSL-2640B – 14,327
  • D-Link DSL-2740R – 379
  • D-Link DSL-2780B – 0
  • D-Link DSL-526B – 7
  • ARG-W4 ADSL – 0
  • DSLink 260E – 7
  • Secutech – 17
  • TOTOLINK r – 2,265

Jak można zabezpieczyć się przed atakiem? Jeśli posiadasz jeden z wymienionych routerów, koniecznie zaktualizuj jego oprogramowanie (firmware). O wykrytych atakach wiedzą producenci, którzy błyskawicznie przygotowali łatki uniemożliwiające przejęcie ruterów. Sprawdź również, czy ustawienia DNS rutera nie zostały zmienione - zazwyczaj adresy serwerów DNS są dostarczane przez Twojego dostawcę internetu.