Niezałatane routery D-Link zostały celem złośliwej kampanii mającej na celu zmianę adresów serwerów DNS. Cyberprzestępcy, manipulując adresami DNS, przekierowują ruch z domowych sieci do złośliwych stron internetowych. Uzyskując kontrolę nad serwerem DNS, można „powiedzieć” routerowi, że np. strona bankowa pkobp.pl znajduje się na zupełnie innym serwerze niż w rzeczywistości — użytkownik zostanie przekierowany do zmanipulowanej witryny.
Przejęcie kontroli nad DNS-ami może być wykorzystane przez przestępców internetowych do kierowania ruchu na fałszywą witrynę, która będzie próbowała zainfekować komputer złośliwym oprogramowaniem lub wyświetli stronę nakierowaną na zysk z reklam, czy chociażby witrynę kradnącą poświadczenia logowania.
Ataki na routery D-Link odnotowuje się od 29 grudnia 2018 roku. Najpopularniejsze modele, które obrywają, to: D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B i D-Link DSL-526B. Zapytania DNS przechodziły przez skonfigurowany serwer w infrastrukturze OVH w Kanadzie.
W lutym 2019 r. rozpoczęła się kolejna fala ataków wymierzonych znowu w podatne routery D-Link. W marcu nastąpiła najnowsza fala ataków. Lista podatnych routerów została rozszerzona o modele: ARG-W4, SSLink 260E, Secutech i TOTOLINK. W marcowych atakach zapytania DNS kierowano do serwerów hostowanych w Rosji u operatora Inoventica Services.
Tego typu ataki podkreślają znaczenie utrzymywania należytej „higieny” urządzeń mających dostęp do Internetu. Luki w zabezpieczeniach D-Link, które wykorzystano w atakach, załatane zostały lata temu, ale wielu użytkowników nie zainstalowało wymaganych poprawek (prawdopodobnie z powodu braku świadomości problemu). Ważne jest, aby oprogramowanie routerów domowych było na bieżąco aktualizowane. Urządzenia, w których nadal funkcjonuje nieaktualne oprogramowanie układowe mogą być narażone na zmieniające ustawienia DNS ataki hakerskie.
— mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe
Jeżeli w ostatnich miesiącach odnotowywano w sieci domowej problemy z rozwiązywaniem adresów IP (ping był, ale nie działał Internet w przeglądarce) może to oznaczać (ale nie musi), że ruch sieciowy zatrzymywał się na wyłączonym serwerze DNS.
Użytkownikom zalecamy, aby sprawdzili ustawienia routerów, w tym zmienili hasła dostępowe i zaktualizowali firmware, jeśli jest to możliwe. Rekomendujemy odratowanie swoich routerów za pomocą oprogramowania Bitdefender Home Scanner lub Symantec Symantec VPNFilter Check. Recenzja każdego oprogramowania znajduje się pod linkami:
- https://avlab.pl/aplikacja-bitdefender-home-scanner-na-ratunek-niezaktualizowanym-routerom
- https://avlab.pl/symantec-pomoze-wykrywac-malware-vpnfilter-w-routerach
Użytkownicy, którzy są zainteresowani bezpiecznym routerem sprzętowym dostępnym w Polsce, mogą już teraz wypróbować rozwiązanie F-Secure SENSE. Router z antywirusem i zaawansowaną zaporą wykrywającą ataki jest dostępny w kraju. Szczegółową recenzję oraz test bezpieczeństwa opisaliśmy na stronie: https://avlab.pl/f-secure-sense-mocne-strony-routera-ktory-przez-dwa-tygodnie-zabezpieczal-nasza-siec-wi-fi
