Zlonamerna programska oprema GhostDNS na usmerjevalnikih lahko ukrade podatke o bančnih računih

Strokovnjaki so odkrili, da GhostDNS, prefinjen DNS sistem za ugrabitev podatkov za krajo podatkov, vpliva na več kot 100.000 usmerjevalnikov - 87 odstotkov jih je v Braziliji. Po podatkih družbe Netlab, specializirane za informacijsko varnost, je bila v 70 drugih modelih, vključno z blagovnimi znamkami, kot so TP-Link, D-Link, Intelbras, Multilaser in Huawei.

Z uporabo metode lažnega predstavljanja je končni cilj napada odkriti poverilnice pomembnih mest, kot so banke in veliki ponudniki. Netlab v 360 zapisih, ki so odkrili prevara, Netflixovi brazilski URL-ji, Santander in Citibank so bili nekateri izmed tistih, ki so jih napadli GhostDNS. Nato se naučite vse o zlonamerni programski opremi in se naučite, kako se zaščititi.

READ: Strike v usmerjevalniku že doseže na tisoče domov v Braziliji; izogniti

Zlonamerna programska oprema GhostDNS napadne več kot 100.000 usmerjevalnikov in lahko ukrade bančne podatke

Želite kupiti mobilni telefon, TV in druge popuste? Spoznajte primerjavo

Kaj je napad?

Zlonamerna programska oprema, o kateri poroča Netlab pri 360, izvede napad, znan kot DNSchange. Na splošno ta prevara poskuša uganiti geslo usmerjevalnika na spletni strani s pomočjo ID-jev, ki jih privzeto določijo proizvajalci, kot so admin / admin, root / root, itd. Drug način je preskočiti preverjanje pristnosti s skeniranjem dnscfg.cgi. Z dostopom do nastavitev usmerjevalnika zlonamerna programska oprema spremeni privzeti naslov DNS, ki URL-je prevaja od zaželenih spletnih mest, kot so banke, do zlonamernih IP-jev.

GhostDNS je precej izboljšana različica te taktike. Ima tri različice DNSChangerja, ki se v lupini imenuje DNSChanger, DNSChanger in PyPhp DNSChanger. PyPhp DNSChanger je glavni modul med tremi, ki je bil nameščen na več kot 100 strežnikih, predvsem v storitvi Google Cloud. Skupaj združujejo več kot 100 napadalnih scenarijev, namenjenih usmerjevalnikom v internetnih in intranetnih omrežjih.

Kot da to ni dovolj, so v GhostDNS še trije drugi strukturni moduli, poleg DNSChanger. Prvi je strežnik Rouge DNS, ki zavzema domene bank, storitev v oblaku in drugih spletnih mestih z zanimivimi poverilnicami za kriminalce. Drugi je sistem spletnega lažnega predstavljanja, ki sprejema naslove IP z ukradenih domen in komunicira z žrtvami prek lažnih spletnih mest. Nazadnje, obstaja spletni administracijski sistem, na katerem strokovnjaki še vedno nimajo veliko informacij o operaciji.

Diagram pretoka napadov GhostDNS na usmerjevalnike

Tveganja napada

Veliko tveganje za napad je, da z ugrabitvijo DNS, tudi če v brskalnik vnesete pravilen URL vaše banke, lahko preusmeri na IP zlonamernega spletnega mesta. Torej, tudi ko uporabnik prepozna spremembe v vmesniku strani, je prepričan, da je v varnem okolju. S tem se povečajo možnosti tipkanja bančnih gesel, e-poštnih storitev, storitev za shranjevanje v oblaku in drugih poverilnic, ki jih lahko uporabljajo internetni kriminalci.

Kateri usmerjevalniki so bili prizadeti?

V obdobju od 21. do 27. septembra je Netlab pri 360-ih odkril več kot 100.000 IP naslovov okuženih usmerjevalnikov. Od teh je 87, 8% - ali približno 87 800 - v Braziliji. Vendar pa je lahko dejansko število zaradi različnih naslovov nekoliko drugačno.

Counter okuženega usmerjevalnika GhostDNS

Zadevni usmerjevalniki so bili okuženi z različnimi moduli DNSChanger. V lupini DNSChanger so bili identificirani naslednji modeli:

• 3COM OCR-812
• AP-ROUTER
• D-LINK
• D-LINK DSL-2640T
• D-LINK DSL-2740R
• D-LINK DSL-500
• D-LINK DSL-500G / DSL-502G
• Huawei SmartAX MT880a
• Intelbras WRN240-1
• Kaiomy Router
• MikroTiK usmerjevalniki
• OIWTECH OIW-2415CPE
• Ralink usmerjevalniki
• SpeedStream
• SpeedTouch
• Šotor
• TP-LINK TD-W8901G / TD-W8961ND / TD-8816
• TP-LINK TD-W8960N
• TP-LINK TL-WR740N
• TRIZ TZ5500E / VIKING
• VIKING / DSLINK 200 U / E

Že usmerjevalniki, na katere vpliva DNSChanger Js, so bili:

• A-Link WL54AP3 / WL54AP2
• D-Link DIR-905L
• GWR-120 Usmerjevalnik
• Secutech RiS Firmware
• SMARTGATE
• TP-Link TL-WR841N / TL-WR841ND

Naprave, na katere vpliva glavni modul, PyPhp DNSChanger, so naslednje:

• AirRouter AirOS
• Antena PQWS2401
• C3-TECH Router
• Cisco usmerjevalnik
• D-Link DIR-600
• D-Link DIR-610
• D-Link DIR-615
• D-Link DIR-905L
• D-Link ShareCenter
• Elsys CPE-2n
• Fiberhome
• Fiberhome AN5506-02-B
• Fiberlink 101
• GPON ONU
• Greatek
• GWR 120
• Huawei
• Intelbras WRN 150
• Intelbras WRN 240
• Intelbras WRN 300
• LINKONE
• MikroTik
• Multilaser
• OIWTECH
• PFTP-WR300
• QBR-1041 WU
• PNRT150M usmerjevalnik
• Brezžični N 300Mbps usmerjevalnik
• WRN150 Router
• WRN342 Usmerjevalnik
• Sapido RB-1830
• TEHNIČNI LAN WAR-54GS
• Tenda Wireless-N širokopasovni usmerjevalnik
• Thomson
• TP-Link Archer C7
• TP-Link TL-WR1043ND
• TP-Link TL-WR720N
• TP-Link TL-WR740N
• TP-Link TL-WR749N
• TP-Link TL-WR840N
• TP-Link TL-WR841N
• TP-Link TL-WR845N
• TP-Link TL-WR849N
• TP-Link TL-WR941ND
• Wive-NG usmerjevalniki
• ZXHN H208N
• Zyxel VMG3312

Kako se zaščititi

Prvi korak je sprememba gesla usmerjevalnika, zlasti če uporabljate privzeto kodo ali sprejmete šibko geslo. Priporočljivo je tudi, da posodobite strojno-programsko opremo usmerjevalnika in preverite nastavitve, če se DNS spremeni.

Kako nastaviti geslo za Wi-Fi usmerjevalnik

Kaj pravijo proizvajalci

Podjetje se je obrnilo na Intelbras, ki ni seznanjen s kakršnimi koli težavami s svojimi usmerjevalniki: "Obveščamo vas, da doslej še nismo registrirali primera poškodb naših uporabnikov prek naših 14 kanalov, ki ustrezajo ranljivosti usmerjevalnikov Intelbras." V zvezi z varnostjo družba usmerja potrošnike, naj sledijo rutinskemu posodabljanju opreme: "nadzor in razpoložljivost posodobljene programske opreme sta na voljo na naši spletni strani (www.intelbras.com.br/downloads)".

Multilaser tudi trdi, da doslej ni bilo nobenih prijavljenih težav. "Preko kanalov storitev, ki bi se lahko povezali s dogodkom, ni bilo stika s strankami. Multilaser svetuje potrošnikom, naj se obrnejo na podporo za več informacij o posodobitvah in konfiguracijah naprav znamke."

D-Link poroča, da je bila ranljivost že prijavljena. Glede na izjavo, ki jo je poslala, je družba ponudila rešitev uporabnikom svojih usmerjevalnikov. "D-Link ponavlja, kako pomembno je, da uporabniki stalno posodabljajo strojno-programsko opremo usmerjevalnikov, kar poveča varnost opreme in povezave, " dodaja.

TP-Link trdi, da je seznanjen s težavo in priporoča, naj uporabniki posodabljajo strojno opremo in spreminjajo geslo za svoje naprave. TP-Link je seznanjen z raziskavami o ranljivosti svojih usmerjevalnikov kot načinu preprečevanja te možne zlonamerne programske opreme, TP-Link priporoča naslednje korake:

• Spremenite privzeto geslo v bolj zapleteno geslo, da preprečite dostop vsiljivcem do nastavitev usmerjevalnika;
• Preverite, ali vaš usmerjevalnik uporablja najnovejšo različico vdelane programske opreme. Če ne, nadgradite, da preprečite izkoriščanje starejših ranljivosti. "

Huawei ni komentiral, dokler to vprašanje ni bilo objavljeno.

Via Netlab na 360

Kaj je najboljši kanal usmerjevalnika Wi-Fi? Odkrijte v forumu.