Kolejna kampania ataków na routery klienckie

Data publikacji: 11/03/2015, alex

Badając incydenty zgłoszone przez użytkowników, odkryliśmy kolejną kampanię ataków na bankowość internetową prowadzoną poprzez przejmowanie routerów klienckich.

Metoda ta znana jest od ponad roku, polega na przejęciu kontroli nad domowym routerem ofiary i zmianie ustawień serwerów DNS. Router przydzielający adresy w domowej sieci komputerom i urządzeniom przenośnym, podaje też ustawienia serwerów DNS, i w ten sposób użytkownicy lokalnej sieci zaczynają używać serwerów DNS kontrolowanych przez przestępców. Serwery te działają tak jak serwery legalne, z jednym wyjątkiem – kiedy użytkownik otwiera stronę banku, zamiast niej kierowany jest na serwer pośredniczący, udający stronę banku. Strona ta nie jest prawdziwą stroną banku i użytkownik loguje się do banku pozostając pod kontrolą przestępców, którzy wykorzystują jego dostęp do wyprowadzenia pieniędzy z konta.

Nowością jest sposób łączenia się serwera pośredniczącego z bankiem. W poprzednio obserwowanych przypadkach, połączenie do banku było wykonywane bezpośrednio z przestępczego serwera. Teraz połączenie jest jeszcze przekierowywane przez któryś z przejętych routerów. W ten sposób przestępcy utrudniają wykrycie swojej działalności – połączenia z bankiem wykonywane są z adresów sieci domowych czy biurowych i nie budzą podejrzeń o manipulację.

Routery przejmowane są poprzez złamanie hasła zabezpieczającego dostęp do panelu zarządzania – jeżeli router nie udostępnia dostępu do interfejsu zarządzania przez połączenia Telnet, WWW albo SSH z internetu, przestępcy nie są nim zainteresowani.

Żeby zabezpieczyć się przed tym atakiem wystarczy zablokować możliwość zarządzania routerem spoza sieci lokalnej.

Wskaźnikiem ataku jest ustawienie serwerów DNS, jeśli urządzenia pobierające konfigurację sieci z domowego czy biurowego routera nie korzystają z serwerów udostępnianych przez dostawcę łącza a np z serwerów DNS o adresach 188.132.242.156 i 94.242.202.187, router padł ofiarą ataku. Prosimy o zgłaszanie nam takich przypadków poprzez formularz zgłaszania incydentów.

(BT, JAU)