Bad Packets meldde dat een groep cybercriminelen vanaf december 2018 thuisrouters, voornamelijk D-Link-modellen, heeft gehackt om de DNS-serverinstellingen te wijzigen en verkeer te onderscheppen dat bestemd is voor legitieme websites. Hierna werden gebruikers doorgestuurd naar nepbronnen.
Er wordt gemeld dat voor dit doel gaten in de firmware worden gebruikt, waardoor onmerkbare veranderingen in het gedrag van routers kunnen worden aangebracht. De lijst met doelapparaten ziet er als volgt uit:
- D-Link DSL-2640B - 14327 gejailbreakte apparaten;
- D-Link DSL-2740R - 379 apparaten;
- D-Link DSL-2780B - 0 apparaten;
- D-Link DSL-526B - 7 apparaten;
- ARG-W4 ADSL - 0 apparaten;
- DSLink 260E - 7 apparaten;
- Secutech - 17 apparaten;
- TOTOLINK - 2265 apparaten.
Dat wil zeggen dat slechts twee modellen de aanvallen hebben doorstaan. Opgemerkt wordt dat er drie aanvalsgolven hebben plaatsgevonden: in december 2018, begin februari en eind maart van dit jaar. De hackers hebben naar verluidt de volgende server-IP-adressen gebruikt:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Het werkingsprincipe van dergelijke aanvallen is eenvoudig: de DNS-instellingen in de router worden gewijzigd, waarna de gebruiker wordt omgeleid naar een kloonsite, waar hij een login, wachtwoord en andere gegevens moet invoeren. Ze gaan dan naar hackers. Alle eigenaren van de bovengenoemde modellen wordt aanbevolen om de firmware van hun routers zo snel mogelijk bij te werken.
Interessant genoeg zijn dergelijke aanvallen nu vrij zeldzaam; ze waren populair in het begin van de jaren 2000. Hoewel ze de afgelopen jaren periodiek zijn gebruikt. Zo werd in 2016 een grootschalige aanval geregistreerd met behulp van advertenties die routers in Brazilië infecteerden.
En begin 2018 werd er een aanval uitgevoerd die gebruikers doorverwees naar sites met malware voor Android.
Bron: 3dnews.ru