Bad Packets poinformowało, że od grudnia 2018 r. grupa cyberprzestępców włamywała się do routerów domowych, głównie modeli D-Link, w celu zmiany ustawień serwera DNS i przechwytywania ruchu kierowanego do legalnych witryn internetowych. Następnie użytkownicy byli przekierowywani do fałszywych zasobów.
Podaje się, że w tym celu wykorzystywane są dziury w oprogramowaniu, które umożliwiają wprowadzenie niezauważalnych zmian w zachowaniu routerów. Lista urządzeń docelowych wygląda następująco:
- D-Link DSL-2640B – 14327 XNUMX urządzeń po jailbreaku;
- D-Link DSL-2740R - 379 urządzeń;
- D-Link DSL-2780B - 0 urządzeń;
- D-Link DSL-526B - 7 urządzeń;
- ARG-W4 ADSL - 0 urządzeń;
- DSLink 260E - 7 urządzeń;
- Secutech – 17 urządzeń;
- TOTOLINK - 2265 urządzeń.
Oznacza to, że tylko dwa modele wytrzymały ataki. Zaznacza się, że przeprowadzono trzy fale ataków: w grudniu 2018 r., na początku lutego i pod koniec marca br. Według doniesień hakerzy wykorzystali następujące adresy IP serwerów:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Zasada działania takich ataków jest prosta – w routerze zmieniają się ustawienia DNS, po czym przekierowuje on użytkownika na stronę klonowania, gdzie wymagane jest podanie loginu, hasła i innych danych. Następnie trafiają do hakerów. Wszystkim właścicielom powyższych modeli zaleca się jak najszybszą aktualizację oprogramowania swoich routerów.
Co ciekawe, takie ataki są obecnie dość rzadkie; były popularne na początku XXI wieku. Chociaż w ostatnich latach były one używane okresowo. Tym samym w 2000 roku odnotowano atak na dużą skalę wykorzystujący reklamy, który zainfekował routery w Brazylii.
Z kolei na początku 2018 roku przeprowadzono atak, który przekierowywał użytkowników na strony zawierające złośliwe oprogramowanie dla Androida.
Źródło: 3dnews.ru