Nowa fala ataków na rutery w Polsce – sprawdź swoje ustawienia serwerów DNS

dodał 7 marca 2015 o 20:40 w kategorii Złośniki  z tagami:
Nowa fala ataków na rutery w Polsce – sprawdź swoje ustawienia serwerów DNS

Firma F-Secure zaobserwowała nową falę ataków na domowe rutery. Przestępcy podmieniają ustawienia serwerów DNS by infekować komputery w sieci lokalnej. Najwięcej zgłoszeń dociera od użytkowników z terenu Polski.

Ataki na domowe rutery, polegające na zmianie serwerów DNS i przechwycenie oraz modyfikowanie ruchu użytkownika do wybranych serwisów WWW są znane od kilku lat. Także co najmniej od kwietnia zeszłego roku znana jest kampania polegająca na wymuszaniu infekcji lokalnych komputerów. Według firmy F-Secure trwa właśnie jej najnowsza fala, a wśród ofiar dominują użytkownicy z naszego kraju.

Jak przebiega atak

Kiedy użytkownik zainfekowanego rutera próbuje otworzyć określoną stronę internetową, przestępcy przechwytują zapytanie o adres IP serwera i przesyłają fałszywą odpowiedź. Dzięki temu zamiast odwiedzić prawdziwy serwer banku lub Google użytkownik odwiedza stronę skonfigurowaną przez przestępców, lecz wyglądającą jak oryginał i znajdującą się pozornie pod oryginalnym adresem. Atak jest trudny do wykrycia, ponieważ na komputerze nie ma żadnego złośliwego oprogramowania.

Najnowsza kampania przestępców polega na nakłanianiu użytkowników do zainstalowania „aktualizacji Flash Playera”. Złośliwy plik jest serwowany w momencie próby odwiedzenia serwisu takiego jak google.com, youtube.com, yahoo.com czy facebook.com. Użytkownik widzi okienko z komunikatem „WARNING! Your Flash Player may be out of date. Please update to continue”:


Pierwszy etap infekcji

Pierwszy etap infekcji

Co istotne, nie pozostawia ono zbyt wielkiego wyboru – można kliknąć OK lub zamknąć okno. Jeśli użytkownik wybierze opcję OK, otwiera się kolejny komunikat:


Kolejny fałszywy ekran

Kolejny fałszywy ekran

a potem następuje pobranie pliku wykonywalnego z odpowiedniego adresu o postaci:

Pobrany plik w ostatniej kampanii to koń trojański Fareit, który potrafi kraść informacje z zainfekowanego komputera oraz służy do instalacji innego złośliwego oprogramowania. Jak pokazuje inforgrafika F-Secure, Polska jest na czele listy największej liczby infekcji.

Statystyki infekcji

Statystyki infekcji

Zaniepokojeni użytkownicy szukają pomocy w internecie a zespół CERT Polska również obserwuje infekcje, które mają na celu także ataki na użytkowników bankowości elektronicznej.

Jak dochodzi do zmiany ustawień serwerów DNS

W przypadkach sprzed miesięcy najczęstszą metodą ataku było wykorzystanie zdalnego dostępu do interfejsu zarządzania ruterem i jednego z wielu znanych błędów w oprogramowaniu urządzeń. W tym wypadku wiele wskazuje na to, że do skutecznego ataku dochodzi mimo tego, że strona rutera nie jest dostępna w internecie. Z pomocą przestępcom przychodzą ataki CSRF, polegające na zmuszeniu przeglądarki użytkownika do przeprowadzenia ataku na ruter w sieci lokalnej. Użytkownik jest najpierw nakłaniany do odwiedzenia odpowiednio spreparowanej witryny (np. poprzez spam), a tam czeka już zestaw odpowiednich skryptów. Podobny scenariusz ataku opisała kilka dni temu firma Proofpoint. Co ciekawe dotyczy on Brazylii, która również pojawia się na mapie F-Secure.

W scenariuszu brazylijskim przestępcy wysyłają wiadomości phishingowe do wybranych użytkowników i nakłaniają ich do odwiedzenia przygotowanej przez siebie witryny WWW. Strona ta zawiera dziesiątki ramek IFRAME, z których każda próbuje innej kombinacji wewnętrznego adresu IP, loginu i hasła by zmienić ustawienia serwerów DNS domowego rutera.

Atak na lokalny ruter

Atak na lokalny ruter

Najczęściej ofiarami tego ataku padają użytkownicy ruterów firm UTStarcom oraz TP-Link. F-Secure opublikowała adresy IP trzech złośliwych serwerów DNS, które napotykała u swoich klientów. Są to 184.107.242.162 / 184.107.232.162 oraz 168.144.134.129. Co ciekawe, ofiary identycznych ataków można znaleźć także w USA.

Jak się bronić?

Obrona przed takim atakiem jest dość prosta. Proponujemy:

  • wyłączyć dostęp z internetu do strony rutera
  • przenieść ruter na inny, mniej typowy adres IP
  • zmienić hasło do rutera na nietypowe
  • korzystać z wtyczek typu NoScript, blokujących ataki CSRF

Polecamy także na wszelki wypadek stronę umożliwiającą weryfikację ustawień serwerów DNS. Jeśli natraficie na nietypową sytuację – piszcie.