31 марта 2015

Маршрутизаторы в огне: хакеры меняют настройки DNS

Бизнес

В Южной Америке развернулась широкомасштабная кампания по фармингу бытовых маршрутизаторов, и это наиболее свежий случай, укладывающийся в тенденцию, которую эксперты «Лаборатории Касперского» выявили некоторое время тому назад. Домашние маршрутизаторы часто используют предприятия малого бизнеса, которые также могут стать жертвами этой серии атак, оказавшейся довольно мощной.

Злоумышленники разослали пользователям одной крупной телекоммуникационной компании в Бразилии ряд фишинговых писем с предупреждением о просроченной оплате аккаунта и предложением пройти по ссылке якобы на портал, где можно решить эту проблему. Вместо этого указанные сайты содержали код, который осуществлял межсайтовую подделку запроса, направленную на эксплуатацию уязвимостей в бытовых маршрутизаторах UTStarcom и TP-Link, раздаваемых самим провайдером.

Страницы содержали фреймы с кодом JavaScript, эксплуатировавшим уязвимости межсайтовой подделки запроса, если таковые присутствовали на маршрутизаторах. Они также осуществляли попытку взлома страницы администрирования маршрутизатора методом грубой силы с использованием известных комбинаций имен пользователей и паролей по умолчанию. После того как (и если) злоумышленники получали доступ к маршрутизатору, они уже могли переназначить основные параметры DNS на сайт, контролируемый преступниками, и вторичные установки — на публичную DNS Google.

Это позволяло злоумышленникам просеивать весь проходящий трафик, что явно сильно расширяло их финансовые возможности за счёт бедных жертв.

Есть и ещё одна проблема: любой маршрутизатор под защитой учетных данных по умолчанию уязвим для этой атаки и множества других ей подобных. Исследователи, которые выявили эту кампанию и сообщили о ней, отметили, что прописывание (всегда) функционирующего DNS-сервера в качестве вторичного снижает вероятность того, что пользователи заметят подвох. В самом деле, даже если вредоносный DNS не работает по какой-то причине, клиенты Интернет-провайдера по-прежнему смогут получить доступ в сеть: все их запросы DNS будут проходить через публичный DNS Google.

main

Здесь сразу вспоминается дурной памяти троян DNSChanger. Его операторы использовали вредоносные программы для перенастройки домашних маршрутизаторов таким образом, чтобы все запросы DNS проходили через их серверы. Пользователей агрессивно «заваливали» рекламой, в том числе сайтов «для взрослых», а все компьютеры, подключенные к зараженным маршрутизаторам, отображали баннеры на своих экранах.

В конце концов, ФБР захватило серверы DNSChanger, а затем было вынуждено поддерживать их функционирование, одновременно ведя масштабную кампанию по разъяснению того, как следует избавляться от зловреда и восстанавливать нормальное перенаправление DNS. В противном случае пользователи просто потеряли бы доступ в интернет, как только серверы были отключены.

Хорошо ли, плохо ли, но в этот раз такого не случится. Доступ в сеть останется, даже если вырубить вредоносные DNS-серверы. И жертвы ничего не узнают о том, что они на крючке, пока не обнаружат пропажу денег.

Маршрутизаторы и прежде много раз становились мишенями киберпреступников и, скорее всего, будут подвергаться нападениям снова и снова. Число взломов наподобие этого неприятно выросло за последние 12-18 месяцев, и всё больше экспертов по безопасности вынуждены заниматься данной проблемой со всей серьёзностью. В некоторых случаях, таких как с уязвимостью Misfortune Cookie в популярном встроенном веб-сервере RomPager, под угрозой нападения оказались 12 миллионов устройств, в том числе бытовых маршрутизаторов. Прошлым летом во время DEF CON состязание хакеров под названием SOHOpelessly Broken было посвящено изъянам маршрутизаторов и выявило 15 уязвимостей нулевого дня, о чём было доложено производителям, которые их устранили.

Есть много причин, по которым преступники будут всё чаще нацеливаться на маршрутизаторы:

  1. Бытовые маршрутизаторы являются одними из самых игнорируемых элементов сети, с которыми обращаются по принципу «врубил и забыл». После первой и единственной настройки их редко проверяют, да и располагаются они, как правило, в самом конце списка устройств, которые следует проконтролировать, если что-то пошло не так.
  2. Люди используют слабые пароли, вдобавок нередки случаи сохранения ими заводских пар логинов и паролей. Установкой сложных паролей, отличных от заданных по умолчанию или подобных паре «admin/1234», часто пренебрегают.
  3. Бытовые маршрутизаторы используют и на предприятиях малого бизнеса, что означает для хакеров шанс заполучить приличный куш в случае удачного выбора жертвы.

Прошивки маршрутизаторов требуют своевременных исправлений так же, как любое другое программное обеспечение; это настолько же важно, как и защита конечных точек от вредоносных программ и попыток фишинга, которые часто следуют за взломом маршрутизатора. В этом Kaspersky Small Office Security может оказаться весьма полезным: помимо защиты персональных компьютеров от вредоносных программ и кибератак, он также способен справляться с попытками противоправного перенаправления.

Чтобы узнать больше о Kaspersky Small Office Security и скачать пробную версию, пожалуйста, нажмите сюда.

Возвращаясь к фарминговой кампании, бразильский исследователь «Лаборатории Касперского» Фабио Ассолини сказал, что он ежедневно сталкивается, в среднем, с четырьмя новыми атаками подобного рода, и все они не являются какими-то мелкими операциями — игра идёт по-крупному.