GhostDNS pahavara ruuteritel võib varastada kasutajapanganduse andmeid

Eksperdid on avastanud, et GhostDNS, keeruline DNS-varguse süsteem andmete varguseks, mõjutab rohkem kui 100 000 ruuterit - 87% neist Brasiilias. Infoturbele spetsialiseerunud firma Netlab sõnul on 70 muudest mudelitest leitud pahavara, sealhulgas selliseid kaubamärke nagu TP-Link, D-Link, Intelbras, Multilaser ja Huawei.

Andmepüügi meetodit kasutades on rünnaku lõplik eesmärk avastada oluliste saitide, näiteks pankade ja suurte pakkujate volikirjad. Neil 360-l, mis avastas kelmuse, Netflixi Brasiilia URL-id, Santander ja Citibank olid mõned neist, keda GhostDNS tungis. Järgmine, õpi kõik õelvara ja õppige, kuidas ennast kaitsta.

LUGEGE: ruuteril on Brasiilias juba tuhandeid kodusid; vältida

Malware GhostDNS nakatab rohkem kui 100 000 ruuterit ja võib varastada pangandust

Tahad osta mobiiltelefoni, telerit ja teisi soodushinnaga tooteid? Tea Võrdle

Mis on rünnak?

Netlab'i poolt 360-s teatatud pahavara ründab DNS-i nime. Üldiselt püüab see pettus veebi konfiguratsiooni lehel marsruuteri parooli ära arvata, kasutades ID-sid, mis on tootja poolt vaikimisi määratud, näiteks admin / admin, root / root jne. Teine võimalus on vahele jätta autentimine dnscfg.cgi skaneerimise teel. Juurdepääs marsruuteri seadetele muudab pahavara vaikimisi määratud DNS-i aadressideks, nagu näiteks pangad, pahatahtliku saidi IP-dele vaikimisi DNS-aadressi.

GhostDNS on selle taktika palju parem versioon. Sellel on kolm DNSChangeri versiooni, mida nimetatakse kesta enda DNSChanger, DNSChanger ja PyPhp DNSChanger. Püphp DNSChanger on nende kolme peamine moodul, mis on paigutatud enam kui 100 serverisse, peamiselt Google'i pilve. Koos toovad nad kokku rohkem kui 100 ründuskripti, mis on mõeldud ruuteritele Interneti ja intraneti võrkudes.

Nagu see ei oleks piisav, on lisaks DNSChangerile GhostDNSis veel kolm struktuuri moodulit. Esimene on Rouge DNS server, mis röövib pankade, pilveteenuste ja muude huvipakkuvate volitustega veebilehtede domeene. Teine on veebi andmepüügisüsteem, mis võtab varastatud domeenidest IP-aadressid ja suhtleb ohvritega võltsitud saitide kaudu. Lõpuks on olemas veebihaldussüsteem, mille kohta eksperdid on operatsiooni kohta veel vähe.

GhostDNS-i poolt edendatud rünnakute vooskeem ruuteritele

Rünnaku riskid

Rünnaku suur oht on see, et DNS-i kaaperdamise korral, isegi kui sisestate brauseris õige panga URL-i, võib see suunata pahatahtliku saidi IP-le. Nii et isegi kui kasutaja tuvastab muudatused lehe liideses, usutakse, et ta on turvalises keskkonnas. See suurendab võimalust sisestada panga paroole, e-posti, pilve salvestamise teenuseid ja muid volitusi, mida küberkuritegijad saavad kasutada.

Milliseid marsruutereid on kahjustatud?

Ajavahemikul 21.-27. Septembrini leidis Netlab 360-l veidi üle 100 000 nakatunud ruuteri IP-aadressi. Neist 87, 8% ehk umbes 87 800 on Brasiilias. Aadressi variatsioonide tõttu võib tegelik arv siiski veidi erineda.

GhostDNS nakatunud ruuteri loendur

Mõjutatud ruuterid nakatati erinevate DNSChanger moodulitega. DNSChanger Shellis on tuvastatud järgmised mudelid:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy ruuter
  • MikroTiK ruuterid
  • OIWTECH OIW-2415CPE
  • Ralink ruuterid
  • SpeedStream
  • SpeedTouch
  • Telk
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Need olid juba DNSChanger Js poolt mõjutatud ruuterid:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • GWR-120 ruuter
  • Secutech RiS püsivara
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND

Lõpuks on peamooduliga PyPhp DNSChanger mõjutatud seadmed järgmised:

  • AirRouter AirOS
  • Antenn PQWS2401
  • C3-TECH ruuter
  • Cisco ruuter
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M ruuter
  • Wireless N 300Mbps ruuter
  • WRN150 ruuter
  • WRN342 ruuter
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N Broadband Router
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG püsivara ruuterid
  • ZXHN H208N
  • Zyxel VMG3312

Kuidas ennast kaitsta?

Esimene samm on marsruuteri parooli muutmine, eriti kui kasutate vaikekoodi või võtate vastu nõrga parooli. Samuti on soovitatav uuendada ruuteri püsivara ja kontrollida, kas DNS on muutunud.

Kuidas määrata Wi-Fi ruuteri parool

Mida tootjad ütlevad

Ettevõte võttis ühendust Intelbrasega, kes ei ole oma marsruuteritega seotud probleemidest teadlik: "Käesolevaga teavitame teid, et meil pole seni registreeritud kasutajate vigastusi meie 14 teeninduskanali kaudu, mis vastavad Intelbrase ruuterite haavatavusele." Turvalisuse osas juhib ettevõte tarbijaid pidevalt varustuse ajakohastamisega: "uuendatud püsivara kontroll ja kättesaadavus on saadaval meie veebilehel (www.intelbras.com.br/downloads)".

Multilaser väidab ka, et siiani ei ole teatatud probleeme. "Sündmusega ühendatud teenusekanalite kaudu ei olnud kliendikontakte. Multilaser soovitab tarbijatel võtta ühendust toega, et saada rohkem teavet brändi seadmete värskenduste ja konfiguratsioonide kohta."

D-Link teatab, et haavatavust on juba teatatud. Saadud avalduse kohaselt tegi ettevõte selle lahenduse oma ruuterite kasutajatele kättesaadavaks. "D-Link kordab, et oluline on pidevalt värskendada ruuterite püsivara, mis suurendab seadmete ja ühenduse turvalisust, " lisab ta.

TP-Link väidab, et on probleemist teadlik ja soovitab kasutajatel hoida püsivara ajakohasena ja muuta oma seadmete parooli. TP-Link on teadlik oma ruuterite haavatavuse uurimise viisist, et vältida seda võimalikku pahavara, TP-Link soovitab järgida järgmisi samme:

  • Muutke vaikimisi parool keerulisemaks parooliks, et vältida sissetungijate juurdepääsu ruuteri seadetele;
  • Veenduge, et teie ruuter kasutab uusimat püsivara versiooni. Kui ei, siis uuendage, et vältida vanemate haavatavuste ärakasutamist. "

Huawei ei kommenteerinud seda probleemi avaldamist.

Via Netlab 360 ° juures

Mis on parim Wi-Fi ruuteri kanal? Avasta foorumis.