Группа злоумышленников в течение продолжительного времени эксплуатировала уязвимость в ряде моделей роутеров компании Dlink. Найденная дыра позволяет удаленно изменять настройки DNS-сервера роутера, с тем, чтобы перенаправлять пользователя устройства на ресурс, который создан самими злоумышленниками. Дальнейшее зависит от выбора самих киберпреступников — они могут похищать учетные записи жертв или же предлагать услуги, которые выглядят, как вполне «белый» сервис от банка.Уязвимость актуальна для таких моделей, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Их редко кто обновляет, так что злоумышленники могут использовать уязвимости устаревших прошивок без проблем. О деталях можно подробно почитать здесь и здесь.
Первыми о проблеме узнали представители компании Radware, специализирующейся на вопросах кибербезопасности. Как оказалось, все это было задумано злоумышленниками для того, чтобы получить доступ к учетным записям клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco. Вместо серверов банковской сети пользователи попадали на серверы, находившиеся под управлением хакеров.
При этом пользователи никак не могли понять, что происходит — их не пытались обмануть фишинговыми ссылками и различными всплывающими окнами. Просто вместо сайта банка пользователь попадал на поддельный сайт, который не вызывал практически никаких опасений. Естественно, переход на malware-ресурс выполнялся даже в том случае, если пользователь кликал по ссылке в «Избранном» своего браузера или же по URL-ярлыку, размещенном на рабочем столе.
Аналогичным образом переход происходил в том случае, если вместо ПК пользователь работал с планшетом, телефоном или любым другим устройством под управлением любой ОС. Главное условие для выполнения malware-перехода — подключение к скомпрометированному роутеру.
Сайты бразильских банков были выбраны потому, что доступ к ним может быть получен по HTTP, без защиты. Так что посетители не получают никаких сообщений о том, что сайт, на который они перенаправляются — вредоносный. Если же у пользователя HTTPS установлен по умолчанию, то в этом случае потенциальная жертва получает сообщение о проблеме с сертификатом. Но при этом есть опция «согласиться», и если пользователь ее выбирает, что делает большинство пользователей, то перенаправление работает без всяких проблем. Кроме того, вредоносный сайт «притворяется» вполне нормальным. Если пользователь залогинен на реальном сайте банка, то его данные перенаправляются на сервер злоумышленников. Сайт контролируется с того же IP, что и DNS-сервер злоумышленников.
Сайт, на который осуществляется переход, один в один похож на реальный ресурс банка, так что не слишком продвинутые в техническом плане пользователи могут быть с легкостью обмануты. Насколько можно понять, сайт злоумышленников пока не настроен, сходство пока чисто внешнее, без функционала банковского сайта (подделать и это — не слишком сложно).
После того, как компания, обнаружившая атаку, сообщила о проблеме, зловредный DNS- ресурс и фейковый сайты были закрыты хостинг-компанией, который принадлежит сервер. Правда, это причиняет определенные неудобства владельцам «модернизированных» роутеров. Дело в том, что поскольку DNS-сервер изменен на вредоносные в настройках оборудования, оно больше не способно давать доступ к сети без вторичной настройки. Сделать это просто, но если у пользователя нет опыта и понимая, что происходит, проблема может стать серьезной.
На данный момент это одна из крупнейших атак с использованием роутеров. В мае сообщалось о схожей атаке. Тогда было инфицировано около полумиллиона сетевых устройств разных производителей. После того, как представители ФБР узнали о проблеме, они предупредили сервис VPNFilter, с которым работало ПО злоумышленников, и проблему тоже удалось решить.
Да и раньше проблемы подобного рода случались. Так в 2016 году malware, известное, как DNSChanger стало причиной выполнения зараженными роутерами команд злоумышленников. Тогда также использовался вредоносный DNS-сервер. И точно также, как и сейчас, осуществлялся переход на вредоносные ресурсы, принадлежавшие злоумышленникам.
Наилучшая защита от атак такого рода — во-первых, обновлять прошивку оборудования, во-вторых, использовать надежный пароль. Кроме того, можно изменить DNS на проверенный — например, 1.1.1.1 от Cloudflare или 8.8.8.8 от Google.
Комментарии (15)
AngelNet
14.08.2018 21:13Не знаю как с этим у д-линк обстоят дела, но на своём устройстве (другого вендора) я не стал прошивать стороннюю прошивку из за отсутствия поддержки аппаратного NAT.
Ни дд-врт ни опен-врт подходившие по чипу моей железке этого просто не умели.
Другими словами остаётся лишь сидеть на заводской прошивке и «ныть на форумах» чтобы побыстрее запатчили. Обладателям же старых устройств, поддержка которых уже закончилась приходится еще хуже: тут либо покупка нового роутера/модема либо переход на открытые прошивки, пусть и с потерей части проприетарного функционала.
4ecTHblu
15.08.2018 04:59Прям все шишки на d-link.
Я пару месяцев назад обнаружил, что на роутере меняются настройки DNS и перенаправляет не пойми куда. Роутер от xiaomi с прошивкой padavan. Пришлось менять мой любимый логин и пароль(admin/admin) на что-то более надежное и все прекратилось.3aBulon
15.08.2018 08:08ну блин тут дело как бы не в роутере, а в админ/админ?
а длинки реально взламывались через запрос в строчке адреса
?NO_NEED_AUTH=1&AUTH_GROUP=0
например:
192.168.0.1/bsc_wlan.php?NO_NEED_AUTH=1&AUTH_GROUP=0 — Настройка беспроводной сети, можно узнать имя, пароль, тип шифрования.Yngvie
15.08.2018 12:12А разве по умолчанию включен доступ в админ интерфейс с WAN?
Такая ссылка то сработает (жаль проверить не могу, мой D-Link сломан), но злоумышленник ведь не внутри сети.
У меня ASUS, такая настройка есть но выключена.
Soul_in_Gun
16.08.2018 16:28Padawan это и есть прошивка от ASUS переделанная для других вендоров с плюшками от коммьюнити типа поддержки transmission, openvpn, aria, entware итд итп. Сам пользуюсь — вполне секурное решение которое почти тянет на «мини домашний сервер» по возможностям. Для ми-роутеров однозначно самое лучшее решение — ибо родная прошивка у них на китайском языке, к сожалению.
А вот товарищ явно что-то сделал не так — или торчал по SSH\telnet наружу с этими кредами или вебморду наружу торчал — всё-таки т.к. прошивка позволяет очень много — вполне реально неожиданно для себя выстрелить себе в ногу без понимания того как это работает.
xztau
15.08.2018 09:43Их редко кто обновляет
EOL EOS модели. Обновлений прошивки вообще нет.OnelaW
15.08.2018 16:25Хмм, вот этот момент и настораживает. Возможно часть пользователей не знало об этом (устанавливал интернет провайдер), часть не хотели тратить деньги на апгрейд, но не всё же количество кого поимели.
adeptoleg
Если быть честным то и с апдейтами прошивок у Dlink всегда было не очень несмотря что роутеры вполне годные. Именно поэтому я уже дадвно перешёл на DDWRT хотя тоже не панацея. С старыми роутерами сейчас поголовно беда. Единственный вариант курить мануалы и делать обновление прошивок самому.
Alexey2005
Не очень — это ещё мягко сказано. После «знакомства» с DSL-2650U, этого вендора избегаю как чумы. Потому что где ещё вы увидите, как роутер убивается в кирпич прямым попаданием официального обновления, которое скачивается им самим с официальных же серверов в автоматическом режиме(!).
Очевидно, что тестеры в этой конторе отсутствуют как класс. И даже обновления на сервера выгружаются явно автоматически, просто по факту появления в репах соответствующего тега. Только так можно объяснить выкатывание в продакшн полностью нерабочей прошивки.
xztau
Какого вендора посоветуете, тогда?
tonny_bennet
MikroTik
stalinets
Я вот одно время работал, подключая людей к PON, и соответственно перенастроил немало роутеров. Самые беспроблемные на мой взгялд — Zyxel, но они не самые дешёвые. Только 1-2 раза были проблемы, например, как-то раз был затуп, что при работе Wi-Fi интернет на LAN-портах отсутствовал, а в целом настроил и забыл. Ещё мне понравился TP-Link, недорогие и тоже не скажу, чтобы часто были проблемы (было пару раз, что слетали настройки после перезагрузки). D-Link в целом тоже не скажу, что прям очень сильно проблемные, но лично мне с ними не везло (самый первый DSL-2500U глючил аццки, потом 2600U сгорел от молнии, потом 2750U тоже попался глючный), ну и по работе бывали с ними танцы с бубном (например, в какой-то роутер просто не пускало на веб-морду со стационарного ПК, а с ноута при всех аналогичных настройках и подключении в тот же порт — пускало, или бывало, что веб-морда какого-то старого роутера в любом браузере открывалась невероятно криво и тромознуто, вплоть до невозможности ничего настроить). Наверное, зависит от конкретной модели.
Ещё не могу сказать ничего плохого про роутеры Tenda и Netis, мы их ставили как «от фирмы» когда человек хотел подключить интернет сразу с роутером от провайдера, массовых проблем с ними не было, хотя они и недорогие. У Netis ещё и ядерно-мощный Wi-Fi, пробивающий вдвое дальше многих других роутеров.
Есть знакомые любители Ubiquiti и Mikrotik, хвалят, но я сам толком не настраивал.
Всякие прочие роутеры (Netgear, Asus и пр) попадаются реже и по ним трудно что-то сказать.
n00b1k
Mikrotik, очень хорошие роутеры делает Zyxel для людей далеких от IT, Asus какие-то дикие деньги хочет за свои железки
roscomtheend
С надёжностью у них тоже было не очень — DIR-300 дохли, ещё какие-то с ADSL дохли, прошивки некоторые изначально не очень живыми были. Уже давно обхожу их стороной.
adeptoleg
Вот тут не факт у меня караз DIR-300 + DDWRT за 9 лет отключался в общей сложности может на месяц полёт нормальный(главное вырубить и заблочить с внешки вообще всё что только можно вырубить и заблочить :) )