Компанія Bad Packets повідомила, що, починаючи з грудня 2018 року, група кіберзлочинців зламувала домашні маршрутизатори, в основному моделі D-Link, щоб змінити налаштування DNS-сервера і перехопити трафік, призначений для легальних сайтів. Після цього користувачів перенаправляли на фейкові ресурси.
Повідомляється, що для цього використовуються проломи в прошивках, які дозволяють вносити непомітні зміни до поведінки роутерів. Список цільових пристроїв виглядає так:
- D-Link DSL-2640B - 14327 зламаних пристроїв;
- D-Link DSL-2740R - 379 пристроїв;
- D-Link DSL-2780B - 0 пристроїв;
- D-Link DSL-526B - 7 пристроїв;
- ARG-W4 ADSL - 0 пристроїв;
- DSLink 260E - 7 пристроїв;
- Secutech - 17 пристроїв;
- TOTOLINK - 2265 пристроїв.
Тобто проти атак встояли лише дві моделі. При цьому наголошується, що було проведено три хвилі атак: у грудні 2018 року, на початку лютого та наприкінці березня цього року. Повідомляється, що хакери використовували такі IP-адреси серверів:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Принцип дії таких атак простий - налаштування DNS у маршрутизаторі підмінюються, після чого він переадресовує користувача на сайт-клон, де потрібно ввести логін, пароль та інші дані. Вони потім потрапляють до хакерів. Всім власникам вищезгаданих моделей рекомендується якнайшвидше оновити прошивки роутерів.
Цікаво, що зараз такі атаки досить рідкісні, вони були популярні на початку 2000-х років. Хоча і останніми роками їх періодично використовують. Так, у 2016 році було зафіксовано масштабну атаку з використанням реклами, яка заражала маршрутизатори у Бразилії.
А на початку 2018 року проводилася атака, яка перенаправляла користувачів на сайти зі шкідливим програмним забезпеченням для Android.
Джерело: 3dnews.ru