Bad Packets съобщиха, че в началото на декември 2018 г. група киберпрестъпници са хакнали домашни рутери, предимно модели на D-Link, за да променят настройките на DNS сървъра и да прихващат трафик, предназначен за легитимни уебсайтове. След това потребителите бяха пренасочени към фалшиви ресурси.
Съобщава се, че за тази цел се използват дупки във фърмуера, които позволяват незабележими промени в поведението на рутерите. Списъкът с целевите устройства изглежда така:
- D-Link DSL-2640B - 14327 XNUMX джейлбрейкнати устройства;
- D-Link DSL-2740R - 379 устройства;
- D-Link DSL-2780B - 0 устройства;
- D-Link DSL-526B - 7 устройства;
- ARG-W4 ADSL - 0 устройства;
- DSLink 260E - 7 устройства;
- Secutech - 17 устройства;
- TOTOLINK - 2265 устройства.
Тоест само два модела издържаха на атаките. Отбелязва се, че са извършени три вълни от нападения: през декември 2018 г., в началото на февруари и в края на март тази година. Съобщава се, че хакерите са използвали следните IP адреси на сървъри:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Принципът на действие на такива атаки е прост - настройките на DNS в рутера се променят, след което той пренасочва потребителя към сайт за клонинг, където се изисква въвеждане на потребителско име, парола и други данни. След това отиват при хакери. На всички собственици на горепосочените модели се препоръчва да актуализират фърмуера на своите рутери възможно най-скоро.
Интересното е, че подобни атаки сега са доста редки, те бяха популярни в началото на 2000-те години. Въпреки че през последните години те се използват периодично. Така през 2016 г. беше регистрирана мащабна атака с помощта на реклама, която зарази рутери в Бразилия.
А в началото на 2018 г. беше извършена атака, която пренасочи потребителите към сайтове със зловреден софтуер за Android.
Източник: 3dnews.ru