Ini
bukan pertama kalinya kami membahas topik kerentanan pada router jaringan, tetapi studi tentang kelompok Paket Buruk dan Ixia (
berita ,
laporan Paket Buruk
, laporan Ixia) menarik karena memberikan gambaran yang hampir lengkap: bagaimana router pecah, pengaturan apa yang mereka ubah, dan apa kemudian terjadi.
Serangan semacam itu tidak memiliki elemen teknis yang rumit, dan tujuan penyerang adalah sederhana - untuk mendapatkan uang dari iklan dan, jika mungkin, mencuri kata sandi untuk akses ke sistem perbankan dan layanan Internet berbayar. Singkatnya: para penyerang memindai jaringan untuk mencari router yang rentan (kebanyakan model D-Link baru). Setelah menemukan router seperti itu, mereka mengubah catatan DNS di dalamnya, mengarahkan lalu lintas ke server mereka sendiri. Dalam hal ini, kerentanan sepele digunakan, akses ke pengaturan untuk perangkat yang belum ditonton terjadi tanpa otorisasi. Perangkat tertua dalam daftar target berusia lebih dari 10 tahun, tetapi meskipun demikian, secara teoritis, penjahat cyber dapat menyerang lebih dari 15 ribu korban.
Pakar Paket Buruk mencatat tiga serangan dengan tanda-tanda umum pada akhir Desember tahun lalu, serta pada bulan Februari dan akhir Maret 2019. Dalam semua kasus, layanan Google Cloud Platform digunakan untuk tahap pertama serangan: server virtual dibuat yang membuat "dering" perangkat jaringan.
Pemindaian ini bertujuan untuk menemukan perangkat dengan kerentanan yang diketahui, terutama ini bukan router paling modern yang diproduksi oleh D-Link. Kemudian, menggunakan layanan
BinaryEdge , yang mengumpulkan informasi tentang parameter perangkat jaringan, dimungkinkan untuk memperkirakan berapa banyak perangkat yang, pada prinsipnya, rentan terhadap serangan semacam itu. Dari selusin model yang tepat diserang selama kampanye ini, hanya satu yang tercatat beberapa ribu "hit".
Ini adalah D-Link
DSL-2640B ADSL Router . One-megabit Ethernet, dukungan untuk WiFi 802.11g - secara umum, tidak buruk untuk model yang telah tersedia sejak 2007. Model lain (misalnya, D-Link 2740R, 526B dan lainnya, hanya sekitar selusin versi), jika mereka bermanfaat bagi penyerang, maka dalam skala kecil - hanya ada beberapa ratus perangkat seperti itu di jaringan.
Pada 2012, model 2640B ditemukan
kerentanan tradisional untuk perangkat jaringan: jika Anda memaksa pengguna masuk ke antarmuka web router untuk mengklik tautan yang disiapkan, Anda dapat memperoleh kendali perangkat. Dan pada 2017, masalah yang lebih serius ditemukan pada router yang sama: ternyata mungkin untuk mengganti catatan server DNS
tanpa otorisasi . Wajar jika antarmuka web router dapat diakses dari luar, yang seharusnya tidak terjadi dalam kondisi normal.
Konsekuensi dari spoofing server DNS sudah jelas: penyerang dapat mengganti iklan banner dengan milik mereka sendiri, menunjukkan kepada pengguna situs palsu di alamat "yang benar", dan menyerang langsung komputer yang terhubung ke router menggunakan malware.
Apa yang sebenarnya terjadi dengan router yang diserang, Ixia menemukan. Itu dilakukan seperti ini: pada sistem pengujian, server jahat dipasang sebagai server DNS, kemudian daftar 10 ribu nama domain dari situs paling populer dijalankan (sesuai dengan versi layanan Alexa). Itu perlu untuk mencari tahu domain mana yang server DNS palsu coba bawa korban ke versi situsnya sendiri. Spoofing situs dicatat untuk empat layanan global: Paypal, GMail, Uber, dan Netflix. Domain lain (total lebih dari sepuluh) adalah layanan lokal bank dan penyedia jaringan di Brasil.
Salinan layanan perbankan terlihat andal, hanya kurangnya koneksi HTTPS yang menunjukkan palsu. Tampaknya, para penyerang tidak berhasil mempersiapkan beberapa pengalihan dengan benar: alih-
alih situs
cetelem.com , misalnya, rintisan server web standar Apache diperlihatkan. Dalam kasus serangan khusus pada bulan Maret tahun ini, kedua situs web palsu dan server DNS itu sendiri juga di-host di platform cloud Google. Menanggapi permintaan dari situs web
Arstechnica , Google mengatakan bahwa layanan jahat diblokir dan tindakan diambil untuk secara otomatis memblokir operasi semacam itu di masa depan. Namun, ini bukan tentang Google: gelombang serangan lain menggunakan server di Kanada dan Rusia.
Secara umum, dalam kasus khusus ini kita tidak berbicara tentang serangan skala besar. Mengalahkan perangkat yang telah berumur bertahun-tahun, dengan kerentanan yang telah lama diketahui, dan yang karena beberapa alasan (konfigurasi salah, pengaturan default tidak aman) pada dasarnya memungkinkan Anda untuk membuka antarmuka web saat mengakses dari Internet, dan bukan hanya dari jaringan lokal. Dalam hal ini, hampir tidak layak berharap untuk tambalan untuk firmware kuno, lebih mudah untuk ditingkatkan. Mengapa penyerang bahkan menyerang beberapa jenis perangkat yang relatif seperti itu? Ini cukup sederhana dan menguntungkan.
Serangan skala besar dengan spoofing DNS telah direkam selama sepuluh tahun terakhir, ada lebih banyak metode kreatif, seperti
menyerang router dengan aplikasi jahat, setelah tersambung ke Wi-Fi. Lalu ada banyak metode pengambilan uang yang tidak jujur: phishing diikuti dengan penjualan kembali kata sandi di pasar gelap (akun layanan yang baru-baru ini dibayar untuk streaming musik dan video telah menjadi komoditas panas), pencurian dana langsung melalui layanan perbankan dan pembayaran, dan penyebaran malware. Di Brasil, serangan semacam itu bersifat
epidemi , dengan ratusan ribu perangkat yang diserang dihitung. Jadi hari ini kita dihadapkan dengan episode kecil dari aktivitas cybercriminal yang cukup terdokumentasi dengan baik.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.