Ponad 300 tys. routerów (domowych i SOHO) padło ofiarą ataku „DNS pharming”

Cyberprzestępcy włamali się do co najmniej 300 tys. routerów klasy konsumenckiej i SOHO, przeprowadzając na nie atak typu „DNS pharming”. Polega on na zmianie ustawień DNS skonfigurowanych w routerze, przekierowując w ten sposób generowane przez niego połączenia do witryn będących we władaniu włamywacza. Informację taką umieściła na swojej witrynie amerykańska firma Team Cymru, ostrzegając użytkowników takich routerów, że ich poufne dane mogą być przechwytywane przez cyberprzestępców.

Atak DNS pharming można porównać do phishingu, z tą jednak różnicą, że w tym drugim przypadku (phishing) ofiara musi popełnić błąd, a atak DNS pharming przeprowadzany jest bez udziału osoby będącej użytkownikiem urządzenia.

Jak podaje Team Cymru, znakomita większość routerów, na których włamywacze dokonali zmian w konfiguracji systemu DNS, została wyprodukowana przez firmy D-Link, TP-Link, Micronet i Tenda. Firma podaje, że są to routery pracujące głównie (ale nie tylko) w takich krajach, jak Wietnam, Włochy, Tajlandia, Kolumbia, Bośnia i Hercegowina oraz Serbia.

Zobacz również:

  • Luka w Zoomie wykorzystywana do rozsiewania wirusów
  • Po pandemii liderzy firm stawiają na odporność ich biznesów
  • Rosja może wkrótce przejąć kontrolę na internetem, wdrażając swój własny system DNS

Team Cymru zwraca uwagę na fakt, że jego odkrycie zbiegło się z innym, bardzo podobnym wydarzeniem. Chodzi o fakt, że informatycy pracujący w polskim oddziale CERT (Computer Emergency Response Team) dokonali nie dalej jak miesiąc temu podobnego odkrycia. Stwierdzili oni wtedy, że włamywacze opracowali malware atakujący routery, który przechwytuje bankowe transakcje przeprowadzane przez użytkowników w trybie online.

Polscy informatycy z CERT mają na swoim koncie jeszcze jeden sukces. Pod koniec grudnia 2013 r. odkryli botnet inicjujący ataki typu DDoS (Distributed Denial-of-Service), który hakerzy instalują na komputerach Windows oraz Linux. Jest to możliwe po przejęciu przez nich haseł SSH, przeprowadzając atak typu “brute force” (słownikowy).

Warto na koniec przypomnieć, że kilka tygodni temu informatycy z SANS Institute (oddział Internet Storm Center) opublikowali ostrzeżenie dotyczące routerów Linksys linii EXX00. Wykryli oni nowe zagrożenie, które pozwala cyberprzestępcom przejmować kontrolę nad tymi urządzeniami, używając do tego celu szkodliwego oprogramowania rozpowszechniającego robaka noszącego nazwę Moon (pisaliśmy o tym tutaj).

Krajobraz nowych zagrożeń będzie jednym z tematów konferencji SEMAFOR 2014, która odbędzie się w dniach 27-28 marca 2014r.

Ponad 300 tys. routerów (domowych i SOHO) padło ofiarą ataku „DNS  pharming”

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200