أسبوع الأمان 15: الهجوم على أجهزة التوجيه باستخدام خداع DNS

ليست هذه هي المرة الأولى التي نعالج فيها مشكلة الضعف في أجهزة توجيه الشبكة ، ولكن دراسات مجموعة Bad Packets و Ixia ( الأخبار ، تقرير Bad Packets ، تقرير Ixia) مثيرة للاهتمام من حيث أنها توفر صورة كاملة تقريبًا: كيفية كسر الموجهات ، والإعدادات التي يغيرونها ، وما ثم يحدث.

لا تتضمن مثل هذه الهجمات أي عناصر معقدة تقنيًا ، وهدف المهاجمين بسيط - كسب المال من الإعلانات ، وإذا أمكن ، سرقة كلمات المرور للوصول إلى الأنظمة المصرفية وخدمات الإنترنت المدفوعة. باختصار: قام المهاجمون بفحص الشبكة للبحث عن أجهزة التوجيه الضعيفة (معظمها طرز D-Link جديدة). بعد اكتشاف مثل هذا الموجه ، قاموا بتغيير سجلات DNS فيه ، وإعادة توجيه حركة المرور إلى خوادمهم. في هذه الحالة ، تم استخدام ثغرات أمنية تافهة ، وحدث الوصول إلى إعدادات الأجهزة غير المدفوعة دون إذن. أقدم الأجهزة المدرجة في القائمة المستهدفة هي أكثر من 10 سنوات ، ولكن على الرغم من هذا ، نظريًا ، يمكن لمجرمي الإنترنت مهاجمة أكثر من 15 ألف ضحية.

سجل خبراء Bad Packets ثلاث هجمات تحمل علامات شائعة في نهاية ديسمبر من العام الماضي ، وكذلك في فبراير ونهاية مارس 2019. في جميع الحالات ، تم استخدام خدمة Google Cloud Platform للمرحلة الأولى من الهجوم: تم إنشاء خادم افتراضي جعل "رنين" أجهزة الشبكة.


كان الهدف من البحث هو العثور على أجهزة لديها ثغرات أمنية معروفة ، لم تكن هذه هي أحدث أجهزة التوجيه الحديثة التي تنتجها دي لينك. في وقت لاحق ، باستخدام خدمة BinaryEdge ، التي تجمع معلومات حول معلمات أجهزة الشبكة ، كان من الممكن تقدير عدد الأجهزة ، من حيث المبدأ ، عرضة لمثل هذا الهجوم. من بين العشرات من النماذج التي تعرضت للهجوم على وجه التحديد خلال هذه الحملة ، تم تسجيل نموذج واحد فقط عدة آلاف من "الزيارات".


هذا هو جهاز التوجيه ADSL من دي لينك DSL-2640B . شبكة إيثرنت أحادية ميغابت ، تدعم شبكة WiFi 802.11g - بشكل عام ليست سيئة بالنسبة لطراز متوفر منذ عام 2007. الطرز الأخرى (على سبيل المثال ، D-Link 2740R ، 526B وغيرها ، حوالي عشرة إصدارات فقط) ، إذا كانت مفيدة للمهاجمين ، ثم على نطاق صغير - لا يوجد سوى بضع مئات من هذه الأجهزة على الشبكة.

في عام 2012 ، اكتشف طراز 2640B ثغرة أمنية تقليدية لأجهزة الشبكة: إذا قمت بفرض دخول مستخدم إلى واجهة الويب الخاصة بجهاز التوجيه للنقر فوق ارتباط مُعد ، فيمكنك التحكم في الجهاز. وفي عام 2017 ، تم اكتشاف مشكلة أكثر خطورة في جهاز التوجيه نفسه: اتضح أنه من الممكن استبدال سجلات خادم DNS دون إذن . بطبيعة الحال ، إذا كان يمكن الوصول إلى واجهة الويب الخاصة بالموجه من الخارج ، فلا ينبغي أن يحدث ذلك في ظل الظروف العادية.


إن عواقب خداع خادم DNS واضحة: يمكن للمهاجمين استبدال إعلانات الشعارات بإعلاناتهم الخاصة ، وإظهار مواقع وهمية للمستخدمين على العنوان "الصحيح" ، ومهاجمة أجهزة الكمبيوتر المتصلة مباشرة بالموجّه باستخدام برامج ضارة.


ما يحدث بالضبط مع جهاز التوجيه المهاجمة ، اكتشف Ixia. تم ذلك على النحو التالي: في نظام اختبار ، تم تثبيت خادم ضار كخادم DNS ، ثم تم تشغيل قائمة تضم 10 آلاف اسم نطاق للمواقع الأكثر شعبية (وفقًا لإصدار خدمة Alexa). كان من الضروري معرفة المجالات التي كان خادم DNS المزيف يحاول نقل الضحايا إلى إصداراتها الخاصة من المواقع. تم تسجيل خداع الموقع لأربع خدمات عالمية: Paypal و GMail و Uber و Netflix. المجالات الأخرى (أكثر من عشرة في المجموع) هي الخدمات المحلية للبنوك ومزودي الشبكات في البرازيل.


نسخة من الخدمة المصرفية تبدو موثوقة ، إلا أن عدم وجود اتصال HTTPS يشير إلى وهمية. على ما يبدو ، لم يتمكن المهاجمون من إعداد بعض عمليات إعادة التوجيه بشكل صحيح: بدلاً من موقع cetelem.com ، على سبيل المثال ، تم عرض كعب خادم الويب Apache القياسي. في حالة وقوع هجوم محدد في مارس من هذا العام ، تم استضافة كل من المواقع المزيفة وخادم DNS نفسه على منصة Google السحابية. استجابةً لطلب من شركة Arstechnica ، ذكرت Google أنه تم حظر الخدمات الضارة واتخاذ تدابير لحظر هذه العمليات تلقائيًا في المستقبل. ومع ذلك ، لا يتعلق الأمر بـ Google: تستخدم موجات الهجوم الأخرى الخوادم في كندا وروسيا.

بشكل عام ، في هذه الحالة بالذات لا نتحدث عن هجوم واسع النطاق. يهزم الأجهزة التي مضى عليها العديد من السنوات ، والتي لديها ثغرات أمنية معروفة منذ فترة طويلة ، والتي لسبب ما (التكوين الخاطئ ، الإعدادات الافتراضية غير الآمنة) تسمح لك بشكل أساسي بفتح واجهة الويب عند الوصول من الإنترنت ، وليس فقط من الشبكة المحلية. في هذه الحالة ، من الصعب أن نأمل في تصحيح البرامج الثابتة القديمة ، فمن السهل الترقية. لماذا يهاجم المهاجمون حتى هذه الأنواع القليلة نسبيا من الأجهزة؟ انها بسيطة جدا ومربحة.

تم تسجيل هجمات واسعة النطاق مع خداع DNS على مدار السنوات العشر الماضية ، وكانت هناك طرق أكثر إبداعًا ، مثل مهاجمة أجهزة التوجيه باستخدام تطبيق ضار ، بعد الاتصال بشبكة Wi-Fi. علاوة على ذلك ، هناك الكثير من طرق جمع الأموال غير النزيهة: الخداع تليها إعادة بيع كلمات المرور في السوق السوداء (أصبحت حسابات الخدمة المدفوعة مؤخرًا لتدفق الموسيقى والفيديو سلعة ساخنة) ، وسرقة الأموال مباشرة من خلال الخدمات المصرفية وخدمات الدفع ، وانتشار البرامج الضارة. في البرازيل ، اتخذت مثل هذه الهجمات طابع الوباء ، مع عد مئات الآلاف من الأجهزة التي تمت مهاجمتها. لذا ، نواجه اليوم حلقة موثقة جيدًا ، لكنها صغيرة من النشاط النابض للجريمة الإلكترونية.

إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بشك صحي.