Последние три месяца исследователи из Bad Packets фиксируют рост количества атак на роутеры потребительского класса с целью угона DNS-трафика. Злоумышленники взламывают сетевые устройства, используя известные уязвимости, и незаметно изменяют настройки DNS, чтобы перенаправить запросы из сети на потенциально опасные сайты.

Текущая хакерская кампания то затихает, то возобновляется с новой силой. Наблюдатели отметили три явно выраженных всплеска активности: в конце декабря, начале февраля и конце марта. Прежде чем применить эксплойт, авторы атак проводят разведку — сканируют TCP-порт 81 с помощью пентест-инструмента Masscan в поисках активных подключений.

Злоумышленников в основном интересуют сетевые устройства D-Link. Поиск, проведенный экспертами через онлайн-сервис BinaryEdge, показал, что роутеры этого вендора чаще прочих бывают доступными из Интернета:

  • D-Link DSL-2640B — 14 327,
  • D-Link DSL-2740R — 379,
  • D-Link DSL-2780B — 0,
  • D-Link DSL-526B — 7,
  • ARG-W4 ADSL — 0,
  • DSLink 260E — 7,
  • Secutech — 17,
  • TOTOLINK — 2265.

Уязвимости, используемые в текущей кампании, хорошо известны, патчи для них давно выпущены, но установили их, к сожалению, далеко не все пользователи. Примечательно, что все попытки эксплойта исходят с узлов, ассоциируемых с облачной платформой Google (AS15169).

Исследователи идентифицировали четыре DNS-сервера злоумышленников. Два из них хостятся в сетях OVH Canada, два — у российского провайдера облачных услуг ООО «Гарант-Парк-Интернет» (бренд Inoventica Services). Именно их IP-адреса подставляются в настройки взломанных роутеров, чтобы перенаправить запросы из локальных сетей на сайты, угодные авторам атаки.

Как установили в Bad Packets, большая часть угоняемого трафика направляется на два IP-адреса хостинг-провайдера, известного потворством киберкриминалу (AS206349, Болгария). Авторы киберкампании также продвигают таким образом услуги американской фирмы, торгующей припаркованными доменами (AS395082).

Исследователям из Ixia, включившимся в мониторинг вредоносной активности, удалось точнее определить цели массового угона DNS. Некоторые из них опубликовал в Twitter главный эксперт компании Стефан Танасе (Stefan Tanase) — злоумышленники собирают учетные данные клиентов бразильских банков и сервисов, а также Paypal, Google и Netflix:

Атаки, нацеленные на угон DNS-трафика, не новы. Злоумышленники зачастую используют для этого вредоносное ПО, осуществляющее подмену соответствующих настроек устройства. В ИБ-сообществе этот тип зловредов называют «DNS-чейнджеры» — по имени наиболее известного, а возможно, и первого подобного творения вирусописателей (по данным «Лаборатории Касперского», троян DNSChanger появился в 2007 году).

Манипуляция DNS-настройками позволяет криминальным элементам успешно наживаться на накрутке трафика на рекламных площадках — DNSChanger, например, за несколько лет принес своим хозяевам $14 млн. Этот метод используют также фишеры для перенаправления потенциальных жертв на поддельные страницы банков, а также авторы вредоносных кампаний, стремящиеся повысить эффективность заражения. К счастью, DNS-чейнджеры обычно ведут себя шумно, и их присутствие на устройстве легко обнаружить.

Категории: Аналитика, Главное, Уязвимости, Хакеры