یک گروه مجرم سایبری در سه ماه گذشته، به دستگاههای مسیریاب خانگی (اکثرا دارای مدلهای D-Link) نفوذ کرده است و تنظیمات DNS آنها را تغییر داده تا ترافیک این مسیریابها را به سمت مقاصد مخرب هدایت کنند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، مهاجمین از اکسپلویتهای شناخته شده در firmware این مسیریابهای آسیبپذیر استفاده کردند و پیکربندی DNS آنها را بدون اطلاع کاربران تغییر دادند.
مسیریابهای مورد هدف مدلهای زیر هستند. اعداد نوشته شده تعداد هر مسیریاب در معرض اینترنت است:
- D-Link DSL-۲۶۴۰B – ۱۴,۳۲۷
- D-Link DSL-۲۷۴۰R – ۳۷۹
- D-Link DSL-۲۷۸۰B – ۰
- D-Link DSL-۵۲۶B – ۷
- ARG-W۴ ADSL routers – ۰
- DSLink ۲۶۰E routers – ۷
- Secutech routers – ۱۷
- TOTOLINK routers – ۲,۲۶۵
به گفته کارشناسان، حملات در سه موج انجام شده است که در اواخر ماه دسامبر ۲۰۱۸، اوایل فوریه ۲۰۱۹ و اواخر مارچ ۲۰۱۹ بوده است. این حملات همچنان در حال انجام هستند.
هدف اصلی حملات تزریق آدرسهای IP مربوط به سرورهای DNS مخرب به مسیریابهای کاربران است. هکرها از چهار آدرس IP استفاده کردهاند. در این سرورهای DNS مخرب، مهاجمین آدرس IP سایتهای قانونی را با آدرس سایتهای تحت مدیریت خود تغییر دادهاند. از این طریق مهاجم میتواند یک سایت فیشینگ ایجاد کند و کاربر در صورت مراجعه به یک سایت قانونی، به سایت فیشینگ هدایت شود و در نتیجه گذرواژه کاربر به سرقت برود.
حملات تغییر DNS یا به اصطلاح DNSChanger در گذشته نیز اتفاق افتاده است، از جمله یک عملیات تغییر DNS در برزیل در سال ۲۰۱۶ که مهاجمین ترافیک مربوط به سایتهای بانکی را تغییر دادند.
چهار آدرس IP مهاجمین در این عملیات موارد زیر هستند:
- ۶۶,۷۰.۱۷۳.۴۸
- ۱۴۴,۲۱۷.۱۹۱.۱۴۵
- ۱۹۵,۱۲۸.۱۲۶.۱۶۵
- ۱۹۵,۱۲۸.۱۲۴.۱۳۱
منبع :