Bad Packets het berig dat 'n groep kuberkriminele vanaf Desember 2018 tuisrouters, hoofsaaklik D-Link-modelle, gekap het om DNS-bedienerinstellings te verander en verkeer wat vir wettige webwerwe bestem is, te onderskep. Hierna is gebruikers na vals hulpbronne herlei.
Daar word berig dat vir hierdie doel gate in die firmware gebruik word, wat toelaat dat onopvallende veranderinge aan die gedrag van routers gemaak word. Die lys teikentoestelle lyk soos volg:
- D-Link DSL-2640B - 14327 XNUMX tronkgebreekte toestelle;
- D-Link DSL-2740R - 379 toestelle;
- D-Link DSL-2780B - 0 toestelle;
- D-Link DSL-526B - 7 toestelle;
- ARG-W4 ADSL - 0 toestelle;
- DSLink 260E - 7 toestelle;
- Secutech - 17 toestelle;
- TOTOLINK - 2265 toestelle.
Dit wil sê net twee modelle het die aanvalle deurstaan. Daar word kennis geneem dat drie golwe van aanvalle uitgevoer is: in Desember 2018, aan die begin van Februarie en aan die einde van Maart vanjaar. Die kuberkrakers het na bewering die volgende bediener-IP-adresse gebruik:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Die beginsel van werking van sulke aanvalle is eenvoudig - die DNS-instellings in die roeteerder word verander, waarna dit die gebruiker na 'n kloonwerf herlei, waar hulle 'n login, wagwoord en ander data moet invoer. Hulle gaan dan na kuberkrakers. Alle eienaars van die bogenoemde modelle word aanbeveel om die firmware van hul routers so gou as moontlik op te dateer.
Interessant genoeg is sulke aanvalle nou redelik skaars; hulle was gewild in die vroeë 2000's. Alhoewel hulle in onlangse jare gereeld gebruik is. Dus, in 2016, is 'n grootskaalse aanval aangeteken met behulp van advertensies wat routers in Brasilië besmet het.
En aan die begin van 2018 is 'n aanval uitgevoer wat gebruikers na werwe met wanware vir Android herlei het.
Bron: 3dnews.ru