Американская компания Team Cymru расследует широкомасштабную атаку на домашние маршрутизаторы, жертвами которой стало как минимум 300 000 маршрутизаторов, преимущественно в Европе и Азии. Особенно их много в Индии, Италии и Вьетнаме. На восьмом месте по количеству заражений находится Украина, на 12-м — Россия.

Злоумышленники изменили настройки DNS в маршрутизаторах, так что DNS-запросы направляются на подконтрольные им серверы 5.45.75.11 и 5.45.75.36. За счет этого осуществляется MiTM-атака с подменой IP-адресов оригинальных доменов. Вероятно, задачей злоумышленников является монетизация трафика и продажа инфраструктуры ботов, хотя во время своего исследования Team Cymru ничего такого не обнаружила: все DNS-запросы, которые они испробовали, перенаправлялись с 5.45.75.11 и 5.45.75.36 на обычные DNS-серверы.

Схема атаки CSRF

 

Анализ показал, что настройки изменялись в маршрутизаторах не одного конкретного производителя, а целого ряда моделей от разных фирм: D-Link, Micronet, Tenda, TP-Link и других. Как и в случае с известной программой DNSChanger, жертвы взлома рискуют остаться без связи в случае, если вышеупомянутые поддельные DNS-серверы перестанут функционировать.

Для разных моделей маршрутизаторов применялись различные эксплойты, в том числе с использованием недавно обнаруженного способа обхода аутентификации в ZyXEL и CSRF-уязвимостей в TP-Link, описанных в 2012-2013 гг (12). В случае с CSRF заражение осуществляется через вредоносный JavaScript, который заставляет персональный компьютер изменить настройки маршрутизатора изнутри локальной сети.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.