„GhostDNS“ kenkėjiškų programų maršrutizatoriai gali pavogti naudotojų banko duomenis
Ekspertai nustatė, kad „GhostDNS“, sudėtinga duomenų vagystės sistema, yra daugiau nei 100 000 maršrutizatorių - 87 proc. Jų Brazilijoje. Pasak „Netlab“, kompanijos, kuri specializuojasi informacijos saugumo srityje, kenkėjiškos programos aptiktos 70 kitų modelių, įskaitant tokius prekių ženklus kaip TP-Link, D-Link, Intelbras, Multilaser ir Huawei.
Naudojant sukčiavimo metodą, galutinis atakos tikslas yra atrasti svarbių svetainių, pvz., Bankų ir didelių paslaugų teikėjų, įgaliojimus. „Netlab“ 360 įrašų, kurie atrado sukčiavimą, „Netflix“ Brazilijos URL, „Santander“ ir „Citibank“ buvo kai kurie iš tų, kuriuos įsiveržė GhostDNS. Be to, sužinokite viską apie kenkėjiškas programas ir sužinokite, kaip apsisaugoti.
SKAITYTI: „Strike in router“ jau pasiekia tūkstančius namų Brazilijoje; vengti
Kenkėjiškos programos GhostDNS užkrečia daugiau nei 100 000 maršrutizatorių ir gali pavogti banko duomenis
Norite pirkti mobilųjį telefoną, televizorių ir kitus nuolaidų produktus? Žinokite palyginimą
Kas yra ataka?
„Netlab“ 360 pranešta kenkėjiška programa atlieka ataką, vadinamą „DNSchange“. Paprastai šis sukčiai bando atspėti maršrutizatoriaus slaptažodį žiniatinklio konfigūracijos puslapyje, naudojant ID, kuriuos gamintojai, pvz., Admin / admin, root / root ir kt. Kitas būdas - praleisti autentifikavimą skenuojant dnscfg.cgi. Naudodamiesi maršrutizatoriaus nustatymais, kenkėjiškos programos pakeičia numatytąjį DNS adresą - kuris verčia URL iš pageidaujamų svetainių, pvz., Bankų, į kenkėjiškų svetainių IP.
GhostDNS yra daug patobulinta šios taktikos versija. Joje yra trys DNSChanger versijos, vadinamos pačiame korpuse DNSChanger, DNSChanger ir PyPhp DNSChanger. „PyPhp DNSChanger“ yra pagrindinis modulis tarp trijų, kuris buvo dislokuotas daugiau nei 100 serverių, daugiausia „Google“ debesies. Kartu jie suburia daugiau kaip 100 atakų scenarijų, skirtų interneto ir intraneto tinklų maršrutizatoriams.
Kaip ir to nepakanka, GhostDNS, be DNSChanger, dar yra trys kiti struktūriniai moduliai. Pirmasis yra „Rouge“ DNS serveris, kuris užgrobia bankų, debesų paslaugų ir kitų svetainių, kuriose yra įdomių nusikaltėlių, domenus. Antrasis yra internetinė duomenų rinkimo sistema, kuri užima pavogtų domenų IP adresus ir sąveikauja su aukomis padirbtų svetainių pagalba. Galiausiai yra žiniatinklio administravimo sistema, kurioje ekspertai vis dar turi mažai informacijos apie operaciją.
„GhostDNS“ skatinama atakų schema maršrutizatoriams
Išpuolio rizika
Didelis užpuolimo pavojus yra tai, kad DNS užgrobimas, net jei įvedate teisingą savo banko URL naršyklėje, gali nukreipti į kenksmingos svetainės IP. Taigi, net jei vartotojas nustato puslapio sąsajos pakeitimus, jis tiki, kad jis yra saugioje aplinkoje. Tai padidina galimybes įvesti banko slaptažodžius, el. Paštą, debesų saugojimo paslaugas ir kitus kredencialus, kuriuos gali naudoti kibernetiniai nusikaltėliai.
Kokie maršrutizatoriai buvo paveikti?
Per laikotarpį nuo rugsėjo 21 d. Iki 27 d. „Netlab“ 360 rado šiek tiek daugiau nei 100 000 užkrėstų maršrutizatorių IP adresų. Iš jų 87, 8% - arba apie 87 800 - yra Brazilijoje. Tačiau dėl adresų skirtumų faktinis skaičius gali šiek tiek skirtis.
GhostDNS užkrėstas maršrutizatorių skaitiklis
Paveiktas maršrutizatorius buvo užkrėstas įvairiais DNSChanger moduliais. DNSChanger korpuse buvo nustatyti šie modeliai:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- Huawei SmartAX MT880a
- Intelbras WRN240-1
- Kaiomy maršrutizatorius
- MikroTiK maršrutizatoriai
- OIWTECH OIW-2415CPE
- „Ralink“ maršrutizatoriai
- „SpeedStream“
- SpeedTouch
- Palapinė
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- TRIZ TZ5500E / VIKING
- VIKING / DSLINK 200 U / E
Jau buvo maršrutizatoriai, kuriems įtakos turėjo DNSChanger Js:
- A-Link WL54AP3 / WL54AP2
- D-Link DIR-905L
- GWR-120 maršrutizatorius
- Secutech RiS programinė įranga
- SMARTGATE
- TP-Link TL-WR841N / TL-WR841ND
Galiausiai, pagrindinio modulio „PyPhp DNSChanger“ veikiami įrenginiai yra tokie:
- AirRouter AirOS
- Antena PQWS2401
- C3-TECH maršrutizatorius
- „Cisco Router“
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- „D-Link ShareCenter“
- Elsys CPE-2n
- „Fiberhome“
- „Fiberhome“ AN5506-02-B
- „Fiberlink 101“
- GPON ONU
- Greatek
- GWR 120
- Huawei
- „Intelbras WRN 150“
- „Intelbras WRN 240“
- „Intelbras WRN 300“
- LINKONE
- MikroTik
- Multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- PNRT150M maršrutizatorius
- Belaidis N 300Mbps maršrutizatorius
- WRN150 maršrutizatorius
- WRN342 maršrutizatorius
- Sapido RB-1830
- TECHNIC LAN WAR-54GS
- „Tenda Wireless-N Broadband Router“
- Thomson
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- „Wive-NG“ programinės įrangos maršrutizatoriai
- ZXHN H208N
- Zyxel VMG3312
Kaip apsisaugoti
Pirmas žingsnis yra keisti maršrutizatoriaus slaptažodį, ypač jei naudojate numatytąjį kodą arba priima silpną slaptažodį. Taip pat rekomenduojama atnaujinti maršrutizatoriaus programinę įrangą ir patikrinti, ar pasikeitė DNS.
Kaip nustatyti „Wi-Fi“ maršrutizatoriaus slaptažodį
Ką sako gamintojai
Bendrovė susisiekė su „Intelbras“, kuri nežino apie su maršrutizatoriais susijusias problemas: „Mes informuojame, kad iki šiol mūsų 14 paslaugų kanalų, atitinkančių„ Intelbras “maršrutizatorių pažeidžiamumą, iki šiol nėra užregistravę. Kalbant apie saugumą, bendrovė nukreipia vartotojus į nuolatinį įrangos atnaujinimą: „atnaujintos programinės įrangos valdymas ir prieinamumas yra mūsų interneto svetainėje (www.intelbras.com.br/downloads)“.
„Multilaser“ taip pat teigia, kad iki šiol nėra jokių problemų. „Klientų kontaktai per tarnybinius kanalus, kurie galėtų būti prijungti prie renginio, nebuvo. Multilaser pataria vartotojams susisiekti su palaikymu ir gauti daugiau informacijos apie prekės ženklo įrenginių naujinius ir konfigūracijas.“
„D-Link“ praneša, kad apie pažeidžiamumą jau pranešta. Pagal išsiųstą pareiškimą, bendrovė pateikė sprendimą savo maršrutizatorių naudotojams. „D-Link pakartoja, kad svarbu nuolat atnaujinti maršrutizatorių programinę įrangą vartotojams, o tai padidina įrangos ir ryšio saugumą“, - priduria jis.
„TP-Link“ teigia, kad žino apie šią problemą, ir rekomenduoja vartotojams atnaujinti programinę įrangą ir pakeisti savo prietaisų slaptažodį. „TP-Link“ žino apie savo maršrutizatorių pažeidžiamumą, kaip būdą užkirsti kelią šiai galimai kenkėjiškai programai, TP-Link rekomenduoja sekti šiuos veiksmus:
- Pakeiskite numatytąjį slaptažodį į sudėtingesnį slaptažodį, kad neleistų įsibrovėliams pasiekti maršrutizatoriaus nustatymų;
- Įsitikinkite, kad maršrutizatorius naudoja naujausią programinės įrangos versiją. Jei ne, atnaujinkite, kad būtų išvengta vyresnio amžiaus pažeidžiamumo išnaudojimo. “
„Huawei“ nepateikė komentarų, kol šis klausimas nebus paskelbtas.
Per „Netlab“, esantį 360 m
Kas yra geriausias „Wi-Fi“ maršrutizatoriaus kanalas? Atraskite forume.
