Trzy serie ataków in-the-wild na niezałatane routery D-Link

11 kwietnia, 2019
Ataki in-the-wild na niezałatane routery D-Link

Niezałatane routery D-Link zostały celem złośliwej kampanii mającej na celu zmianę adresów serwerów DNS. Cyberprzestępcy, manipulując adresami DNS, przekierowują ruch z domowych sieci do złośliwych stron internetowych. Uzyskując kontrolę nad serwerem DNS, można „powiedzieć” routerowi, że np. strona bankowa pkobp.pl znajduje się na zupełnie innym serwerze niż w rzeczywistości — użytkownik zostanie przekierowany do zmanipulowanej witryny.  

Przejęcie kontroli nad DNS-ami może być wykorzystane przez przestępców internetowych do kierowania ruchu na fałszywą witrynę, która będzie próbowała zainfekować komputer złośliwym oprogramowaniem lub wyświetli stronę nakierowaną na zysk z reklam, czy chociażby witrynę kradnącą poświadczenia logowania.

Ataki na routery D-Link odnotowuje się od 29 grudnia 2018 roku. Najpopularniejsze modele, które obrywają, to: D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B i D-Link DSL-526B. Zapytania DNS przechodziły przez skonfigurowany serwer w infrastrukturze OVH w Kanadzie.

W lutym 2019 r. rozpoczęła się kolejna fala ataków wymierzonych znowu w podatne routery D-Link. W marcu nastąpiła najnowsza fala ataków. Lista podatnych routerów została rozszerzona o modele: ARG-W4, SSLink 260E, Secutech i TOTOLINK. W marcowych atakach zapytania DNS kierowano do serwerów hostowanych w Rosji u operatora Inoventica Services.

Tego typu ataki podkreślają znaczenie utrzymywania należytej „higieny” urządzeń mających dostęp do Internetu. Luki w zabezpieczeniach D-Link, które wykorzystano w atakach, załatane zostały lata temu, ale wielu użytkowników nie zainstalowało wymaganych poprawek (prawdopodobnie z powodu braku świadomości problemu). Ważne jest, aby oprogramowanie routerów domowych było na bieżąco aktualizowane. Urządzenia, w których nadal funkcjonuje nieaktualne oprogramowanie układowe mogą być narażone na zmieniające ustawienia DNS ataki hakerskie.

— mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe

Jeżeli w ostatnich miesiącach odnotowywano w sieci domowej problemy z rozwiązywaniem adresów IP (ping był, ale nie działał Internet w przeglądarce) może to oznaczać (ale nie musi), że ruch sieciowy zatrzymywał się na wyłączonym serwerze DNS.

Użytkownikom zalecamy, aby sprawdzili ustawienia routerów, w tym zmienili hasła dostępowe i zaktualizowali firmware, jeśli jest to możliwe. Rekomendujemy odratowanie swoich routerów za pomocą oprogramowania Bitdefender Home Scanner lub Symantec Symantec VPNFilter Check. Recenzja każdego oprogramowania znajduje się pod linkami:

Użytkownicy, którzy są zainteresowani bezpiecznym routerem sprzętowym dostępnym w Polsce, mogą już teraz wypróbować rozwiązanie F-Secure SENSE. Router z antywirusem i zaawansowaną zaporą wykrywającą ataki jest dostępny w kraju. Szczegółową recenzję oraz test bezpieczeństwa opisaliśmy na stronie: https://avlab.pl/f-secure-sense-mocne-strony-routera-ktory-przez-dwa-tygodnie-zabezpieczal-nasza-siec-wi-fi

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]