Skelbimai

Jau apkrėsta virš 100 000 maršrutizatorių. Pažeidžiamų maršrutizatorių sąrašas ir kaip apsisaugoti

Kinijos kibernetinio saugumo tyrėjai atskleidė plačiai paplitusią ir tebevykstančią kenkėjiškos programinės įrangos kampaniją, kuri jau paveikė daugiau kaip 100 000 namų internetinio ryšio maršrutizatorių ir pakeitė jų DNS nustatymus, kad nukreiptų vartotojus į apgaulingus tinklalapius ypač į bankininkystės sektoriaus ir vagia jų registracijos duomenis.

technologijos.lt (Donatas Vertelka) nuotr. / Užgrobtas maršrutizatorius
technologijos.lt (Donatas Vertelka) nuotr. / Užgrobtas maršrutizatorius

Pavadinta „GhostDNS", kampanija turi daug panašumų su „DNSChanger" kenkėjiška programa, kuri veikia pakeitus DNS serverio nustatymus užkrėstame įrenginyje, todėl užpuolikai gali nukreipti naudotojų interneto srautą per kenkėjiškus serverius ir pavogti slaptus duomenis.

Pagal naują kibernetinio saugumo bendrovės „Qihoo 360 NetLab“ ataskaitą, kaip ir per „DNSChanger" kampaniją, „GhostDNS" nuskaito maršrutizatorių IP adresus ir kuriuose įrenginiuose palikti gamykliniai nustatymai arba iš viso be slaptažodžių, pasiekia maršrutizatorių nustatymus ir pakeičia maršrutizatoriaus numatytąjį DNS adresą į tą, kurį kontroliuoja užpuolikai.

„GhostDNS" sistema daugiausia apima keturis modulius:

1) DNSChanger modulis: tai pagrindinis „GhostDNS" modulis, skirtas naudoti tikslinę informaciją remiantis maršrutizatorius surinkta informacija.
DNSChanger modulis susideda iš trijų modulių, kuriuos mokslininkai pavadino „Shell DNSChanger", „Js DNSChanger" ir „PyPhp DNSChanger".
a.) Shell DNSChanger - parašyta Shell programavimo kalba, šis sub modulis sujungia 25 scenarijus, kurie gali pakeisti slaptažodžius maršrutizatoriuose arba programinės įrangos paketuose iš 21 skirtingo gamintojo.
b.) Js DNSChanger - daugiausia parašyta „JavaScript", šis submodulis apima 10 atakų scenarijus, skirtus užkrėsti 6 maršrutizatorius arba programinės įrangos paketus.
„Jo funkcinė struktūra daugiausia yra padalinta į skenavimą, paketų generatorių ir atakų programas. „Js DNSChanger" programa paprastai jau būna įdiegta sukčiavimo svetainėse, todėl ji veikia kartu su „Phishing Web System“, - teigia mokslininkai.
c.) PyPhp DNSChanger - parašytas tiek Python, tiek PHP šis submodulis turi 69 atakų scenarijus, palyginti su 47 skirtingais maršrutizatoriais ir buvo rastas naudojamas daugiau nei 100 serverių, iš kurių dauguma yra "Google" debesyje, ir apima tokias funkcijas kaip „Web API", „Scanner" ir „Attack" modulius.
Šis modulis yra pagrindinis „DNSChanger" modulis, kuris leidžia užpuolikai nuskaityti internetą ir rasti pažeidžiamus maršrutizatorius.

2) Web modulio administratorius: nors mokslininkai dar neturi per daug informacijos apie šį modulį, atrodo, kad po juo slepiasi administratoriaus skydas, apsaugotas prisijungimo puslapiu.

3) „Rogue DNS" modulis: šis modulis yra atsakingas už tikslinių domenų vardų iš užpuolikų valdomų žiniatinklio serverių, daugiausia susijusios su banko ir debesų prieglobos paslaugomis ir domeno, kuris priklauso apsaugos bendrovei „Avira" adresavimą.
„Mes neturime prieigos prie „Rouge DNS“ serverio, todėl negalime tiksliai pasakyti, kiek DNS vardų buvo užgrobta, tačiau užklausus „Alexa Top1M" ir „DNSMon Top1M" domenus prieš kenkėjišką DNS serverį (139.60.162.188), mes sugebėjome rasti iš viso 52 domenus, kurie buvo užgrobti ", - teigia „NetLab“ mokslininkai.

4) Žiniatinklio sukčiavimo modulis: kai tikslinis domenas sėkmingai pakeičiamas nesąžiningais DNS moduliais, sukčiavimo žiniatinklyje modulis siekia sukurti tinkamą šios konkrečios svetainės versiją.

Pasak mokslininkų, nuo rugsėjo 21 iki 27 d. „GhostDNS" apkrėtė daugiau nei 100 000 maršrutizatorių, iš kurių 87,8 procentai įrenginių (tai yra 87 800) yra tik Brazilijoje, o tai reiškia, kad pagrindinis „GhostDNS" užpuolikų tikslas yra Brazilija.

Kadangi "GhostDNS" kampanija labai išplėsta, ji naudoja skirtingą atakos vektorių ir priima automatinį užpuolimo procesą, tai kelia realią grėsmę vartotojams. Todėl vartotojams patariama apsisaugoti.

Kaip apsaugoti savo namų maršrutizatorių nuo įsilaužėlių

Siekiant išvengti tokių atakų aukos, rekomenduojama užtikrinti, kad jūsų maršrutizatorius naudotų naujausią aparatinės įrangos versiją ir nustatytų stiprų prisijungimo per naršyklę slaptažodį.

Taip pat galite apsvarstyti išjungti nuotolinį administravimą, pakeisti numatytąjį vietinį IP adresą ir patikimą DNS serverio adresą susivestią į savo maršrutizatorių ar operacinę sistemą.

„NetLab" tyrėjai taip pat rekomendavo maršrutizatorių tiekėjams padidinti maršrutizatoriaus numatytojo slaptažodžio sudėtingumą ir pagerinti jų produktų saugos naujinimo mechanizmą.

Užkrėsti maršrutizatoriai

  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-LINK DIR-600
  • D-LINK DIR-610
  • D-LINK DIR-615
  • D-LINK DIR-905L
  • D-LINK ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
technologijos.lt

Žymės: Internetas



Komentarai



Infrastruktūra

Sek facebook'e!
ANGLIJA.today
ANGLIJA.today/reklama
AT imonės
Sek facebook'e!