Studie pharmingového útoku, který zasáhl 300 tisíc routerů

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 4.3.2014
Hodnocení/Hlasovalo: 0/0

Výzkumníci bezpečnostního týmu Cymru vydali studii o rozsáhlém pharmingovém útoku z konce loňského roku, který cílil na malé routery (Small office and Home office - SOHO). Kompromitováno prý bylo více než 300 tisíc těchto zařízení.

Hackerům se podařilo změnit DNS nastavení kompromitovaných routerů na IP adresy 5.45.75.11 a 5.45.75.36 a přesměrovat tak veškerý provoz z nich na své vlastní servery.

Většina z napadených zařízení se nacházela ve Vietnamu a v Indii, nechyběla ale ani zařízení umístěná v jiných státech, jako Itálii, Thajsku, Indonesii, na Ukrajině, v Turecku nebo v Colombii.

Postiženými routery byla zařízení značek Micronet, Tenda, D-Link a TP-Link, což díky v nim obsaženým zranitelnostem a backdoorům, o kterých vás často informujeme, asi nepřekvapí. Tato zařízení trpí často zranitelnostmi typu CSRF, nebo umožňují stažení konfiguračního souboru díky chybě ve firmware ZyXEL.

Časová osa několika nedávných odhalení zobrazuje následující hustě posetý graf.

Zatím se nezdá, že by byla kompromitovaná zařízení zneužita k nějakému útoku, ale vše připomíná dřívější útok, který byl namířen na několik polských bank, při kterém útočníci změnili nastavení DNS serverů tak, aby mohli krást přístupové údaje k internetovému bankovnictví.

Tým Cymru k tomuto útoku zveřejnil také čtyřdílné video, které je k dispozici na Youtube.