Bad Packets a signalé qu'à partir de décembre 2018, un groupe de cybercriminels avait piraté des routeurs domestiques, principalement des modèles D-Link, pour modifier les paramètres du serveur DNS et intercepter le trafic destiné à des sites Web légitimes. Après cela, les utilisateurs ont été redirigés vers de fausses ressources.
Il est rapporté qu'à cette fin, des trous dans le micrologiciel sont utilisés, ce qui permet d'apporter des modifications imperceptibles au comportement des routeurs. La liste des appareils cibles ressemble à ceci :
- D-Link DSL-2640B – 14327 XNUMX appareils jailbreakés ;
- D-Link DSL-2740R - 379 appareils ;
- D-Link DSL-2780B - 0 appareil ;
- D-Link DSL-526B - 7 appareil ;
- ARG-W4 ADSL - 0 appareils ;
- DSLink 260E - 7 appareils ;
- Secutech - 17 appareils ;
- TOTOLINK-2265 appareils.
Autrement dit, seuls deux modèles ont résisté aux attaques. Il est à noter que trois vagues d'attaques ont eu lieu : en décembre 2018, début février et fin mars de cette année. Les pirates auraient utilisé les adresses IP de serveur suivantes :
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Le principe de fonctionnement de telles attaques est simple : les paramètres DNS du routeur sont modifiés, après quoi il redirige l'utilisateur vers un site cloné, où il doit saisir un identifiant, un mot de passe et d'autres données. Ils s'adressent ensuite aux pirates. Il est recommandé à tous les propriétaires des modèles mentionnés ci-dessus de mettre à jour le firmware de leurs routeurs dès que possible.
Il est intéressant de noter que de telles attaques sont assez rares aujourd’hui ; elles étaient populaires au début des années 2000. Bien que ces dernières années, ils aient été utilisés périodiquement. Ainsi, en 2016, une attaque à grande échelle utilisant de la publicité a été enregistrée qui a infecté des routeurs au Brésil.
Et début 2018, une attaque a été menée qui a redirigé les utilisateurs vers des sites contenant des logiciels malveillants pour Android.
Source: 3dnews.ru