[AKTUALIZACJA] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN

dodał 31 października 2018 o 21:31 w kategorii Włamania  z tagami:
[AKTUALIZACJA] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN

Wyobraźcie sobie, że ni z tego, ni z owego otrzymujecie rachunek za usługi mobilne na kwotę ponad 20 tys. zł. Może do tego dojść, jeśli nie zadbacie o bezpieczeństwo urządzeń IoT, w których używacie kart SIM.

Zespół CERT Orange Polska poinformował o nietypowym incydencie, który dotknął kilkudziesięciu klientów tej sieci. Wszyscy korzystali z usługi VPN Static, która umożliwia dostęp do internetu ze stałym publicznym adresem IP z urządzeń wyposażonych w karty SIM. Przestępcy przejęli nad tymi urządzeniami kontrolę i użyli ich do wysyłania SMS-ów na zagraniczne numery. Z ustaleń badaczy wynika, że zainfekowane zostały:

  • routery mobilne D-Link DWR-921,
  • routery przemysłowe Teltonika RUT240,
  • urządzenia CCTV Dahua,
  • modemy Digi.

Zawiniła niefrasobliwość użytkowników, którzy nie pomyśleli o zmianie domyślnych loginów i haseł na unikalne albo nie zadbali o aktualizację firmware’u wymienionych wyżej urządzeń.

W przypadku routera D-Linka to ostatnie nie jest zresztą możliwe – producent już go nie wspiera. To zła wiadomość, bo w oprogramowaniu sprzętowym tego modelu występuje luka typu path traversal, której wykorzystanie prowadzi do ujawnienia plików konfiguracyjnych, a stąd już prosta droga do pozyskania hasła.

SMS-y wysyłane za pośrednictwem przejętych urządzeń były kierowane na numery w Izraelu, Luksemburgu, Wielkiej Brytanii, Rosji oraz na Litwie, co przyniosło atakującym wymierne zyski. Orange zdążył już zablokować trzy adresy IP powiązane z infrastrukturą przestępców:

  • 104.248.169.167
  • 116.31.116.43
  • 85.114.97.14

Nie jest wykluczone, że ich pula wkrótce się powiększy, bo incydent nie został jeszcze do końca przeanalizowany. Ofiar może być więcej, a problem może dotyczyć także klientów innych operatorów – zachęcamy do sprawdzenia billingów.

Jak zwykle w podobnych sytuacjach, przypominamy o konieczności aktualizacji oprogramowania sprzętowego wykorzystywanych urządzeń. Zabezpieczając je przed atakiem, należy ponadto wyłączyć dostęp do panelu konfiguracyjnego z zewnątrz oraz zmienić domyślne loginy i hasła na trudne do odgadnięcia. Eksperci z Orange podpowiadają, że warto też zlecić blokadę połączeń głosowych i SMS-ów na kartach używanych w urządzeniach IoT.

Aktualizacja 2018-11-01 00:28

Skontaktował się z nami pracownik Dahua Technology, który poinformował, że produkowanych przez firmę kamer przemysłowych nie można wyposażyć w karty SIM. Tego typu rozwiązanie ma się pojawić dopiero w przyszłym roku. Badacze z CERT Orange Polska musieli się więc pomylić, identyfikując zaatakowane urządzenia. Istnieje także możliwość, że ofiary korzystały z podróbek, zakupionych np. w serwisie AliExpress.

Aktualizacja 2018-11-01 12:30

W odpowiedzi na nasze zapytanie CERT Orange Polska przysłał następujące wyjaśnienie:

Bardzo dziękujemy za informację. Cieszymy się, że producenci sprzętu reagują, mamy nadzieję, że nie tylko ci z tego typu wątpliwościami. Jak zawsze w przypadku tego typu zdarzenia, lista jest otwarta i nie wykluczamy, że zostanie uzupełniona (w zasadzie już została, doszły modemy Digi). W aspekcie kamer Dahua – bez cienia wątpliwości urządzenie generujące złośliwy ruch przedstawiało się jako Dahua i ta informacja w naszej opinii jest kluczowa przy ostrzeganiu przed podatnością, kwestia dostępności produktów firmy na poszczególnych rynkach jest w tej sytuacji wtórna. Dodatkowo urządzenia opisywane jako Dahua, zawierające kartę SIM, dostępne są w szeregu azjatyckich sklepów internetowych. Ze względu na to, iż nasze badania nie wykluczają, iż mogliśmy mieć do czynienia z rejestratorem gromadzącym dane z kamer (wyposażonym w kartę SIM), dokonaliśmy odpowiedniej zmiany w tekście.

Wysłaliśmy do Dahua Technology prośbę o skomentowanie zaistniałej sytuacji. Zaktualizujemy artykuł, gdy tylko otrzymamy odpowiedź.