31.10.2018 | 21:31

Anna Wasilewska-Śpioch

[Aktualizacja] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN

Wyobraźcie sobie, że ni z tego, ni z owego otrzymujecie rachunek za usługi mobilne na kwotę ponad 20 tys. zł. Może do tego dojść, jeśli nie zadbacie o bezpieczeństwo urządzeń IoT, w których używacie kart SIM.

Zespół CERT Orange Polska poinformował o nietypowym incydencie, który dotknął kilkudziesięciu klientów tej sieci. Wszyscy korzystali z usługi VPN Static, która umożliwia dostęp do internetu ze stałym publicznym adresem IP z urządzeń wyposażonych w karty SIM. Przestępcy przejęli nad tymi urządzeniami kontrolę i użyli ich do wysyłania SMS-ów na zagraniczne numery. Z ustaleń badaczy wynika, że zainfekowane zostały:

  • routery mobilne D-Link DWR-921,
  • routery przemysłowe Teltonika RUT240,
  • urządzenia CCTV Dahua,
  • modemy Digi.

Zawiniła niefrasobliwość użytkowników, którzy nie pomyśleli o zmianie domyślnych loginów i haseł na unikalne albo nie zadbali o aktualizację firmware’u wymienionych wyżej urządzeń.

W przypadku routera D-Linka to ostatnie nie jest zresztą możliwe – producent już go nie wspiera. To zła wiadomość, bo w oprogramowaniu sprzętowym tego modelu występuje luka typu path traversal, której wykorzystanie prowadzi do ujawnienia plików konfiguracyjnych, a stąd już prosta droga do pozyskania hasła.

SMS-y wysyłane za pośrednictwem przejętych urządzeń były kierowane na numery w Izraelu, Luksemburgu, Wielkiej Brytanii, Rosji oraz na Litwie, co przyniosło atakującym wymierne zyski. Orange zdążył już zablokować trzy adresy IP powiązane z infrastrukturą przestępców:

  • 104.248.169.167
  • 116.31.116.43
  • 85.114.97.14

Nie jest wykluczone, że ich pula wkrótce się powiększy, bo incydent nie został jeszcze do końca przeanalizowany. Ofiar może być więcej, a problem może dotyczyć także klientów innych operatorów – zachęcamy do sprawdzenia billingów.

Jak zwykle w podobnych sytuacjach, przypominamy o konieczności aktualizacji oprogramowania sprzętowego wykorzystywanych urządzeń. Zabezpieczając je przed atakiem, należy ponadto wyłączyć dostęp do panelu konfiguracyjnego z zewnątrz oraz zmienić domyślne loginy i hasła na trudne do odgadnięcia. Eksperci z Orange podpowiadają, że warto też zlecić blokadę połączeń głosowych i SMS-ów na kartach używanych w urządzeniach IoT.

Aktualizacja 2018-11-01 00:28

Skontaktował się z nami pracownik Dahua Technology, który poinformował, że produkowanych przez firmę kamer przemysłowych nie można wyposażyć w karty SIM. Tego typu rozwiązanie ma się pojawić dopiero w przyszłym roku. Badacze z CERT Orange Polska musieli się więc pomylić, identyfikując zaatakowane urządzenia. Istnieje także możliwość, że ofiary korzystały z podróbek, zakupionych np. w serwisie AliExpress.

Aktualizacja 2018-11-01 12:30

W odpowiedzi na nasze zapytanie CERT Orange Polska przysłał następujące wyjaśnienie:

Bardzo dziękujemy za informację. Cieszymy się, że producenci sprzętu reagują, mamy nadzieję, że nie tylko ci z tego typu wątpliwościami. Jak zawsze w przypadku tego typu zdarzenia, lista jest otwarta i nie wykluczamy, że zostanie uzupełniona (w zasadzie już została, doszły modemy Digi). W aspekcie kamer Dahua – bez cienia wątpliwości urządzenie generujące złośliwy ruch przedstawiało się jako Dahua i ta informacja w naszej opinii jest kluczowa przy ostrzeganiu przed podatnością, kwestia dostępności produktów firmy na poszczególnych rynkach jest w tej sytuacji wtórna. Dodatkowo urządzenia opisywane jako Dahua, zawierające kartę SIM, dostępne są w szeregu azjatyckich sklepów internetowych. Ze względu na to, iż nasze badania nie wykluczają, iż mogliśmy mieć do czynienia z rejestratorem gromadzącym dane z kamer (wyposażonym w kartę SIM), dokonaliśmy odpowiedniej zmiany w tekście.

Wysłaliśmy do Dahua Technology prośbę o skomentowanie zaistniałej sytuacji. Zaktualizujemy artykuł, gdy tylko otrzymamy odpowiedź.

Powrót

Komentarze

  • 2018.10.31 23:23 Mateusz

    Panowie, ale gdzie tu wina kamer jest, bo nie bardzo widzę. Chyba że mówicie o kamerach Dahua z kartą SIM… Tylko że takiej jeszcze nie wypuściliśmy na rynek…

    Odpowiedz
    • 2018.11.01 00:32 Anna Wasilewska-Śpioch

      Uzupełniliśmy artykuł o stosowną informację, postaramy się dowiedzieć czegoś jeszcze.

      Odpowiedz
    • 2018.11.01 11:02 Kazik

      Aliexpres tak sprzedaje pdpięte podbwasze logo

      Odpowiedz
      • 2018.11.01 12:43 CCTVnerd

        A podaj jakiś link, bo Dahua takiego urządzenia nie wypuszczało. Można podpiąć modem USB pod rejestrator, ale to chyba nie jest wtedy wina rejestratora, co nie?

        Odpowiedz
      • 2018.11.01 12:44 Mateusz

        A to ciekawe. Podasz jakiś link do aukcji? Bo nawet w Chinach tego nie mamy. Jest możliwość podłączenia modemu USB do rejestratora, ale to chyba jest coś innego niż „urządzenia Dahua nabijają rachunki”

        Odpowiedz
    • 2018.11.01 13:36 Michał Rosiak

      Tak w ogóle polecam kontakt, bezpośrednio z CERT Orange Polska, mail jest w cytowanym tekście. Miłego dnia.

      Odpowiedz
    • 2018.11.01 15:56 Ce4

      Tylko że dahua można podpiąć pod router i zapisywać dane na PC. Ale aby to zrobić należy zalogować się do Waszej kamery przez wywołanie jej IP. A więc da się zrobić „kuku” userowi.

      Odpowiedz
      • 2018.11.01 18:06 CCTVnerd

        Rozwiń proszę, bo nie ogarniam. Jak zapisanie danych do logowania do rejestratora (czy jakiegokolwiek urządzenia IP z panelem logowania) na PC robi, jak to określiłeś, kuku userowi? Co ma kamera do routera?

        Odpowiedz
        • 2018.11.02 08:42 Ce4

          Czy naprawdę muszę ci wyłuszczać totalne podstawy (aktualizacje firmware) Czy może o możliwości pisania własnych skryptów? Może o dziurawości dahua? Może w końcu zwrócić uwagę wszystkich, że Orange nie podało informacji o jednym – nazwie producenta modemu który musiał zostać użyty do transmisji, bo sama sim zbyt wiele „nie gada”

          Odpowiedz
    • 2018.11.02 05:05 Ryszard

      Może same uciekły?

      Odpowiedz
    • 2018.11.08 13:52 John

      Dahua to ta firma, której urzadzenia stanowiły 50% bota Mirai ?

      Odpowiedz
  • 2018.11.01 06:04 Łukasz

    A czy zawsze możliwa jest blokada połączeń głosowych i SMS? NIe mówię tu o Premium, ale zwykłych…
    Dla przykładu Nju Mobile Internetowy chyba na to nie pozwala. Przynajmniej kiedy się pytałem, tak odpowiadali.

    Odpowiedz
    • 2018.11.01 10:50 mafia

      nie można bo SMS Premium to najlepszy biznes i poważni ludzie za tym stoją
      jakby Armaged0n przyjmował okupy w SMS Premium zamiast btc to byłby milionerem, dolarowym

      Odpowiedz
      • 2018.11.01 13:18 Re

        Orange samo domyślnie blokuje usługi premium od niedawna. Klient może je ewentualnie włączyć.

        Odpowiedz
        • 2018.11.01 15:57 Ce4

          Już się nie da.

          Odpowiedz
        • 2018.11.02 07:15 Michał

          Mamy w firmie flotę gsm w Orange. Na każdy numer można bez problemu założyć blokadę na premium. Prywatnie mam virgin i tu też bez problemu da się blokować całe premium + np zagraniczne.

          Odpowiedz
  • 2018.11.01 07:03 Arek

    Mam DWR-921 i faktycznie jest on dziurawy jak ser. Ale to jest urządzenie z firmware produkowanym przez Amit, i inne będą się zachowywały identycznie. Ogólnie rzecz biorąc większość sieci komórkowych (u mnie Play) nie pozwala na nawiązywanie połączeń przychodzących, więc problem się trochę zmniejsza. Ale karta sim w tym ruterze może być używana jako łącze zapasowe do dsl i wtedy jak jest wystawiony panel nie ma problemu z włamem.

    Najlepiej używać karty prapaid z wyłączonym roamingiem i smsami premium. Maksymalna strata to kwota doładowania.

    Odpowiedz
    • 2018.11.01 11:04 921

      Dlink mi pisal ze update pod ten model bedzie z koncem listopada.

      Odpowiedz
  • 2018.11.01 09:09 Kam

    Czy dotyczy to kart sim zeyklych czy MTM tez?

    Odpowiedz
  • 2018.11.01 12:13 Doman

    Jestem pod wielkim wrażeniem. Miałem umowę (na szczęście skończyła się dwa tygodnie temu) na internet z Orange, niestety równolegle musiałem dokupić taki na kartę od konkurencji żeby mieć kontakt ze światem, także dziwię się że internet Orange nabil komuś taki rachunek, chyba że naliczało impulsy za nieudane połączenia to jestem w stanie uwierzyć w tak wysoki rachunek. Już sobie wyobrażam jak klient dzwoni do Orange z zażaleniem, a pani tłumaczy że ona nie jest w stanie nic zrobić :). Jak słyszę Orange to mnie roznosi, tyle nerw i pieniędzy, może jakiś pozew zbiorowy by się przydal za te ich oszustwa.

    Odpowiedz
    • 2018.11.01 12:44 Emil

      Na czym DOKŁADNIE w/g Ciebie polegało oszustwo Orange w opisywanym przypadku?
      Czy w ogóle przeczytałeś komentowany artykuł, czy tylko sam tytuł?

      Odpowiedz
      • 2018.11.02 12:10 R

        Domyślnie na wszystkich kartach klientów indywidualnych/małych firm Orange ma obowiązek włączyć usługę anty bill shock i zablokować nadużycie, max rachunek 240zł. Dziwnym trafem takie nadużycia zdarzają się ostatnio w Orange, telefony na Kubę, SMS’y za granicę, trudno tylko zrozumieć jaki interes ma w tym włamywacz poza oczywiście anonimowym i darmowym wysyłaniem SMS.

        Odpowiedz
  • 2018.11.01 22:24 Lukasz

    Proponuje wylaczyc wszystkie uslugi dodatkowe smsy,rozmowy itp pozostawic tylko Internet,oferta w T-Mobile inrternet zapewnia komfort i bezpieczeństwo

    Odpowiedz
    • 2018.11.02 06:19 Hugo

      Nie bądź naiwny chlopiec nawet Twój pracodawca T-Mobile nie ma wpływu na to, co sobie klient do routera włoży

      Odpowiedz
  • 2018.11.02 10:50 Robert

    Problemem nie jest czy modem jest wbudowany (np. rejestratory mobilne i osobiste) czy nie jest wbudowany (ale mozna go podpiac), czy operatorem jest T-Mobile czy Orange, nie jest tez w mojej ocenie to czy to jest D-link, Dahua czy XiongMai.

    Istota sprawy jest, ze urzadzenie IoT dostepne pod publicznym adresem IP i majace dostep do uslug mobilnych, moze byc przyczyna przykrych konsekwencji w postaci niechcianego rachunku…

    Bez wzgledu na to czy moge dostac sie do DVRa Dahua wystawionego do Internetu uzywajac kombinacji 888888/888888 czy tez za pomoca jednego requestu HTTP uzyskac haslo w plaintext routera DWR-921 wyposazonego w karte SIM, efekt bedzie ten sam – np. wysylka 20tys SMS, ktore zasila konto przestepcy.

    Najwazniejsze jest to zeby utrwalac best practice i minimalizowac mozliwosci tego typu fraudow a nie przekomarzac sie jak przyslowiowe baby na targu.

    A prawda jest taka, ze:

    1. Producenci nadal oddaja pudelka „admin/admin” – badz co gorsza wbudowane „tajne” konta serwisowe
    2. Nie dbaja o testy bezpieczenstwa – badz co gorsza ignoruja zgloszenia od security community
    3. Uzytkownicy w dobre wierze ulatwiaja sobie zycie poprzez IoTy nieswiadomie strzelajac sobie w kolano (badz stope ;])

    Odpowiedz
    • 2018.11.03 00:51 HDK

      Hmm to się zgadza z moimi obserwacjami. Przeskanowałem adresy IP od mojego dostawcy mobilnego które sąsiadują z moim. Kilka minut i trafiłem na stronę logowani z domyślnym admin/admin

      Odpowiedz
  • 2018.11.02 15:03 Prosty ubek

    „Bez wzgledu na to czy moge dostac sie do DVRa Dahua wystawionego do Internetu używając kombinacji 888888/888888 ” – życzę powodzenia.

    „Nie dbają o testy bezpieczeństwa – bądź co gorsza ignorują zgłoszenia od security community” – może zacznij kupować markowy sprzęt, a nie no name lub low price.

    Odpowiedz
    • 2018.11.02 17:12 Robert

      Bardzo wiele wniosles do dyskusji i do opisywanego problemu, prawdziwa perelka xD

      Odpowiedz
      • 2018.11.03 20:38 MatM

        Zaiste wniósł wiele. Najpierw ludzie kupuję chińszczyznę na bazarze za jakieś grosze a później oczekują gwarancji jak za sprzęt z najwyższej półki i regularnych aktualizacji co kilka dni. Nie twierdzę, że markowy sprzęt jest pozbawiony dziur itp. ale na pewno ma ich mniej a szansa na aktualizację jest większa niż w chińskiej tandecie.

        Odpowiedz
  • 2018.11.29 18:26 kszh

    Proszę zapytac Orange dlaczego uslugi SMS i glosowe (w tym zagraniczne) są włączone na tych subskrypcjach i czy zamierzają coś z tym zrobić / wprowadzić prewencyjne środki ochrony ich klientów.

    Odpowiedz

Zostaw odpowiedź do Hugo

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

[Aktualizacja] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN

Komentarze