Bad Packets ha riferito che a partire da dicembre 2018, un gruppo di criminali informatici ha violato i router domestici, principalmente modelli D-Link, per modificare le impostazioni dei server DNS e intercettare il traffico destinato a siti Web legittimi. Successivamente, gli utenti venivano reindirizzati a risorse false.
È stato riferito che a questo scopo vengono utilizzati buchi nel firmware che consentono di apportare modifiche impercettibili al comportamento dei router. L'elenco dei dispositivi di destinazione è simile al seguente:
- D-Link DSL-2640B - 14327 dispositivi con jailbreak;
- D-Link DSL-2740R - 379 dispositivi;
- D-Link DSL-2780B - 0 dispositivi;
- D-Link DSL-526B - 7 dispositivi;
- ADSL ARG-W4 - 0 dispositivi;
- DSLink 260E - 7 dispositivi;
- Secutech - 17 dispositivi;
- TOTOLINK - 2265 dispositivi.
Cioè, solo due modelli hanno resistito agli attacchi. Si segnala che sono state effettuate tre ondate di attacchi: nel dicembre 2018, all’inizio di febbraio e alla fine di marzo di quest’anno. Secondo quanto riferito, gli hacker hanno utilizzato i seguenti indirizzi IP del server:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165
Il principio di funzionamento di tali attacchi è semplice: le impostazioni DNS nel router vengono modificate, dopodiché reindirizza l'utente a un sito clone, dove è tenuto a inserire login, password e altri dati. Poi vanno agli hacker. Si consiglia a tutti i possessori dei modelli sopra menzionati di aggiornare il firmware dei propri router il prima possibile.
È interessante notare che tali attacchi sono piuttosto rari oggi; erano popolari all’inizio degli anni 2000. Anche se negli ultimi anni sono stati utilizzati periodicamente. Così, nel 2016, è stato registrato un attacco su larga scala tramite pubblicità che ha infettato i router in Brasile.
E all’inizio del 2018 è stato effettuato un attacco che ha reindirizzato gli utenti su siti contenenti malware per Android.
Fonte: 3dnews.ru