Ce n'est
pas la première fois que nous abordons le problème de la vulnérabilité des routeurs réseau, mais les études du groupe Bad Packets et d'Ixia (
actualités ,
rapport Bad Packets,
rapport Ixia) sont intéressantes en ce qu'elles fournissent une image presque complète: comment les routeurs se cassent, quels paramètres ils changent et ce que arrive alors.
De telles attaques ne comportent aucun élément techniquement complexe, et le but des attaquants est simple - gagner de l'argent grâce à la publicité et, si possible, voler des mots de passe pour accéder aux systèmes bancaires et aux services Internet payants. En bref: les attaquants ont scanné le réseau pour rechercher des routeurs vulnérables (principalement de nouveaux modèles D-Link). Ayant découvert un tel routeur, ils ont modifié les enregistrements DNS, redirigeant le trafic vers leurs propres serveurs. Dans ce cas, des vulnérabilités triviales ont été utilisées, l'accès aux paramètres des appareils non corrigés s'est produit sans autorisation. Les appareils les plus anciens de la liste cible ont plus de 10 ans, mais malgré cela, les cybercriminels pourraient théoriquement attaquer plus de 15 000 victimes.
Les experts de Bad Packets ont enregistré trois attaques avec des signes communs fin décembre de l'année dernière, ainsi qu'en février et fin mars 2019. Dans tous les cas, le service Google Cloud Platform a été utilisé pour la première étape de l'attaque: un serveur virtuel a été créé qui faisait «sonner» les périphériques réseau.
L'analyse visait à trouver des appareils présentant des vulnérabilités connues, principalement ce n'étaient pas les routeurs les plus modernes produits par D-Link. Plus tard, en utilisant le service
BinaryEdge , qui collecte des informations sur les paramètres des périphériques réseau, il a été possible d'estimer combien de périphériques étaient, en principe, vulnérables à une telle attaque. Sur une douzaine de mannequins précisément attaquées au cours de cette campagne, une seule a été enregistrée plusieurs milliers de "hits".
Il s'agit du
routeur ADSL D-Link
DSL-2640B . Ethernet 1 mégabit, prise en charge du WiFi 802.11g - en général, pas mal pour un modèle disponible depuis 2007. D'autres modèles (par exemple, D-Link 2740R, 526B et autres, seulement une douzaine de versions), s'ils étaient bénéfiques pour les attaquants, puis à petite échelle - il n'y a que quelques centaines de ces appareils sur le réseau.
En 2012, le modèle 2640B a été découvert une
vulnérabilité traditionnelle pour les périphériques réseau: si vous forcez un utilisateur connecté à l'interface Web du routeur à cliquer sur un lien préparé, vous pouvez prendre le contrôle du périphérique. Et en 2017, un problème plus grave a été découvert dans le même routeur: il s'est avéré qu'il était possible de remplacer des enregistrements de serveur DNS
sans autorisation . Naturellement, si l'interface Web du routeur est accessible de l'extérieur, cela ne devrait pas se produire dans des conditions normales.
Les conséquences de l'usurpation de serveur DNS sont évidentes: les attaquants peuvent remplacer les bannières publicitaires par les leurs, montrer aux utilisateurs de faux sites à la bonne adresse et attaquer directement les ordinateurs connectés au routeur à l'aide de logiciels malveillants.
Que se passe-t-il exactement avec le routeur attaqué, a découvert Ixia. Cela a été fait comme ceci: sur un système de test, un serveur malveillant a été installé comme serveur DNS, puis une liste de 10 mille noms de domaine des sites les plus populaires a été exécutée (selon la version du service Alexa). Il était nécessaire de savoir pour quels domaines le faux serveur DNS essayait de conduire des victimes vers ses propres versions de sites. L'usurpation de site a été enregistrée pour quatre services mondiaux: Paypal, GMail, Uber et Netflix. D'autres domaines (plus de dix au total) étaient les services locaux des banques et des fournisseurs de réseaux au Brésil.
Une copie du service bancaire semble fiable, seul un manque de connexion HTTPS indique un faux. Apparemment, les attaquants n'ont pas réussi à préparer correctement certaines des redirections: au lieu du site
cetelem.com , par exemple, le talon du serveur Web Apache standard a été affiché. En cas d'attaque spécifique en mars de cette année, les faux sites Web et le serveur DNS lui-même étaient également hébergés sur la plate-forme cloud de Google. En réponse à une demande d'
Arstechnica , Google a déclaré que les services malveillants étaient bloqués et que des mesures avaient été prises pour bloquer automatiquement de telles opérations à l'avenir. Cependant, il ne s'agit pas de Google: d'autres vagues d'attaques ont utilisé des serveurs au Canada et en Russie.
En général, dans ce cas particulier, nous ne parlons pas d'une attaque à grande échelle. Élimine les appareils qui datent de plusieurs années, avec des vulnérabilités connues depuis longtemps et qui, pour une raison quelconque (configuration erronée, paramètres par défaut non sécurisés), vous permettent essentiellement d'ouvrir l'interface Web lorsque vous accédez à partir d'Internet, et pas seulement à partir du réseau local. Dans ce cas, il ne vaut guère la peine d'espérer un patch pour un firmware ancien, il est plus facile de le mettre à jour. Pourquoi les attaquants attaquent-ils même si peu de types d'appareils? C'est assez simple et rentable.
Des attaques à grande échelle avec usurpation DNS ont été enregistrées au cours des dix dernières années, il y avait des méthodes plus créatives, telles que l'
attaque de routeurs avec une application malveillante, après la connexion au Wi-Fi. En outre, il existe de nombreuses méthodes de prise d'argent malhonnête: le phishing suivi de la revente de mots de passe sur le marché noir (les comptes de services récemment payés pour la diffusion de musique et de vidéos sont devenus une marchandise chaude), le vol direct de fonds par le biais des services bancaires et de paiement, et la propagation de logiciels malveillants. Au Brésil, de telles attaques ont pris le caractère d'une
épidémie , des centaines de milliers d'appareils attaqués comptant. Aujourd'hui, nous sommes donc confrontés à un épisode assez bien documenté, mais limité, de l'activité vibrante des cybercriminels.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.