Esta
não é
a primeira vez que abordamos o tópico da vulnerabilidade em roteadores de rede, mas os estudos do grupo Bad Packets e Ixia (
notícias ,
relatório Bad Packets
, relatório Ixia) são interessantes, pois fornecem uma imagem quase completa: como os roteadores quebram, quais configurações eles mudam e o que então acontece.
Esses ataques não possuem elementos tecnicamente complexos, e o objetivo dos atacantes é simples - ganhar dinheiro com publicidade e, se possível, roubar senhas para acesso a sistemas bancários e serviços de Internet pagos. Em resumo: os atacantes examinaram a rede em busca de roteadores vulneráveis (principalmente novos modelos D-Link). Tendo descoberto esse roteador, eles alteraram os registros DNS, redirecionando o tráfego para seus próprios servidores. Nesse caso, foram usadas vulnerabilidades triviais, o acesso às configurações de dispositivos sem patch ocorreu sem autorização. Os dispositivos mais antigos da lista de alvos têm mais de 10 anos, mas, apesar disso, teoricamente, os cibercriminosos podem atacar mais de 15 mil vítimas.
Os especialistas da Bad Packets registraram três ataques com sinais comuns no final de dezembro do ano passado, bem como em fevereiro e no final de março de 2019. Em todos os casos, o serviço Google Cloud Platform foi usado para o primeiro estágio do ataque: foi criado um servidor virtual que fazia o toque dos dispositivos de rede.
A verificação teve como objetivo encontrar dispositivos com vulnerabilidades conhecidas, principalmente esses não eram os roteadores mais modernos produzidos pela D-Link. Posteriormente, usando o serviço
BinaryEdge , que coleta informações sobre os parâmetros dos dispositivos de rede, foi possível estimar quantos dispositivos estavam, em princípio, vulneráveis a esse ataque. De uma dúzia de modelos que foram atacados com precisão durante esta campanha, apenas um foi gravado vários milhares de "hits".
Este é o
roteador D-Link
DSL-2640B ADSL . Ethernet de um megabit, suporte para WiFi 802.11g - em geral, não é ruim para um modelo que está disponível desde 2007. Outros modelos (por exemplo, D-Link 2740R, 526B e outros, apenas cerca de uma dúzia de versões), se fossem benéficos para os invasores, então em pequena escala - existem apenas algumas centenas desses dispositivos na rede.
Em 2012, o modelo 2640B foi descoberto como uma
vulnerabilidade tradicional para dispositivos de rede: se você forçar um usuário conectado à interface da web do roteador a clicar em um link preparado, poderá obter controle sobre o dispositivo. E em 2017, um problema mais sério foi descoberto no mesmo roteador: descobriu-se que é possível substituir os registros do servidor DNS
sem autorização . Naturalmente, se a interface da web do roteador estiver acessível externamente, isso não deve ocorrer em condições normais.
As conseqüências da falsificação do servidor DNS são óbvias: os invasores podem substituir os banners por seus próprios, mostrar aos usuários sites falsos no endereço "correto" e atacar diretamente os computadores conectados ao roteador usando malware.
O que exatamente acontece com o roteador atacado, Ixia descobriu. Isso foi feito da seguinte maneira: em um sistema de teste, um servidor malicioso foi instalado como um servidor DNS e, em seguida, uma lista de 10 mil nomes de domínio dos sites mais populares foi executada (de acordo com a versão do serviço Alexa). Era necessário descobrir para quais domínios o falso servidor DNS estava tentando levar as vítimas para suas próprias versões de sites. A falsificação de sites foi registrada para quatro serviços globais: Paypal, GMail, Uber e Netflix. Outros domínios (mais de dez no total) foram serviços locais de bancos e provedores de rede no Brasil.
Uma cópia do serviço bancário parece confiável, apenas a falta de conexão HTTPS indica uma falsificação. Aparentemente, os invasores não conseguiram preparar alguns redirecionamentos corretamente: em vez do site
cetelem.com , por exemplo, o stub padrão do servidor Apache foi mostrado. No caso de um ataque específico em março deste ano, sites falsos e o próprio servidor DNS também foram hospedados na plataforma em nuvem do Google. Em resposta a uma solicitação do site da
Arstechnica , o Google afirmou que os serviços maliciosos foram bloqueados e foram tomadas medidas para bloquear automaticamente essas operações no futuro. No entanto, isso não é sobre o Google: outras ondas de ataque usavam servidores no Canadá e na Rússia.
Em geral, neste caso em particular, não estamos falando de um ataque em larga escala. Derrota os dispositivos com muitos anos de idade, com vulnerabilidades conhecidas há muito tempo e que, por algum motivo (configuração incorreta, configurações padrão inseguras), basicamente permitem abrir a interface da Web ao acessar pela Internet, e não apenas pela rede local. Nesse caso, não vale a pena esperar por um patch para firmware antigo; é mais fácil atualizar. Por que os invasores atacam esses relativamente poucos tipos de dispositivos? É bastante simples e lucrativo.
Ataques em larga escala com falsificação de DNS foram registrados nos últimos dez anos; havia métodos mais criativos, como
atacar roteadores com um aplicativo mal-intencionado, depois de se conectar ao Wi-Fi. Existem vários métodos para obter dinheiro desonesto: phishing seguido de revenda de senhas no mercado negro (as contas de serviço recentemente pagas para streaming de música e vídeo tornaram-se uma mercadoria quente), roubo direto de fundos por meio de serviços bancários e de pagamento e a disseminação de malware. No Brasil, esses ataques assumiram o caráter de uma
epidemia , com centenas de milhares de dispositivos atacados contando. Hoje, hoje, enfrentamos um episódio bastante bem documentado, mas pequeno, da vibrante atividade dos cibercriminosos.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.