Следующая новость
Предыдущая новость

DNS-атаки на роутеры D-Link и других производителей длятся уже более трех месяцев

05.04.2019 23:22
DNS-атаки на роутеры D-Link и других производителей длятся уже более трех месяцев

Рекомендуем почитать:

Xakep #240. Ghidra

  • Содержание выпуска
  • Подписка на «Хакер»

Известный ИБ-эксперт Трой Мурш (Troy Mursch) из компании Bad Packets предупредил уже о третьей волне атак на домашние роутеры производства D-Link, ARG, DSLink, Secutech и TOTOLINK. Хакеры взламывают устройства через известные уязвимости в прошивках, подменяют настройки DNS и перенаправляют трафик пользователей на вредоносные сайты.

DNS-атаки на роутеры D-Link и других производителей длятся уже более трех месяцев

Мурш рассказывает, что злоумышленники преимущественно нацелены на устройства компании D-Link и используют в своих кампаниях ресурсы Google Cloud Platform (AS15169).

Первая волна атак была обнаружена еще в декабре 2018 года. Тогда атакующие сосредоточили свои усилия на роутерах D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B и D-Link DSL-526B, и подменяли настройки DNS на 66.70.173.48, хостившийся у OVH Canada.

Вторую волну атак зафиксировали в начале февраля 2019 года. Хакеры вновь атаковали те же модели роутеров D-Link, но настройки DNS заменяли уже на 144.217.191.145, тоже размещавшийся у OVH Canada.

Третья волна атак началась 26 марта 2019 года, исходит с трех хостов Google Cloud Platform и продолжается до сих пор. На этот раз злоумышленники атаковали не только устройства D-Link, но и роутеры ARG-W4 ADSL, DSLink 260E, Secutech и TOTOLINK. DNS теперь подменяют на российские адреса 195.128.126.165 и 195.128.124.13.

DNS-атаки на роутеры D-Link и других производителей длятся уже более трех месяцев

С помощью поисковика BinaryEdge исследователи подсчитали, сколько уязвимых роутеров каждой модели по-прежнему можно обнаружить в онлайне:

  • D-Link DSL-2640B: 14 327;
  • D-Link DSL-2740R: 379;
  • D-Link DSL-2780B: 0;
  • D-Link DSL-526B: 7;
  • ARG-W4 ADSL: 0;
  • DSLink 260E: 7;
  • Secutech: 17;
  • TOTOLINK: 2 265.

Ни Трою Муршу, ни другим специалистам пока не удалось выяснить, какие именно сайты злоумышленники подменяют при помощи изменения настроек DNS. Известно лишь, что в ходе третьей волны атак жертв преимущественно перенаправляют на адреса, связанные со следующими провайдерами: AS206349 и AS395082.

Исследователи рекомендуют всем обладателям потенциально уязвимых роутеров проверить настройки своих устройств и сравнить указанные там DNS с адресами своих провайдеров.

Источник

Последние новости