Компания Bad Packets сообщила, что начиная с декабря 2018 года группа киберпреступников взламывала домашние маршрутизаторы, в основном модели D-Link, чтобы изменить настройки DNS-сервера и перехватить трафик, предназначенный для легальных сайтов. После этого пользователей перенаправляли на фейковые ресурсы.
Сообщается, что для этого используются бреши в прошивках, которые позволяют вносить незаметные изменения в поведение роутеров. Список целевых устройств выглядит так:
- D-Link DSL-2640B — 14327 взломанных устройств;
- D-Link DSL-2740R — 379 устройств;
- D-Link DSL-2780B — 0 устройств;
- D-Link DSL-526B — 7 устройств;
- ARG-W4 ADSL — 0 устройств;
- DSLink 260E — 7 устройств;
- Secutech — 17 устройств;
- TOTOLINK — 2265 устройств.
То есть против атак устояли только две модели. При этом отмечается, что были проведены три волны атак: в декабре 2018 года, в начале февраля и в конце марта этого года. Сообщается, что хакеры использовали следующие IP-адреса серверов:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
Принцип действия таких атак прост — настройки DNS в маршрутизаторе подменяются, после чего он переадресовывает пользователя на сайт-клон, где требуется ввести логин, пароль и другие данные. Они затем попадают к хакерам. Всем владельцам вышеупомянутых моделей рекомендуется как можно скорее обновить прошивки роутеров.
Интересно, что сейчас подобные атаки довольно редки, они были популярны в начале 2000-х годов. Хотя и в последние годы их периодически используют. Так, в 2016 году была зафиксирована масштабная атака с использованием рекламы, которая заражала маршрутизаторы в Бразилии.
А в начале 2018 года проводилась атака, которая перенаправляла пользователей на сайты с вредоносным ПО для Android.