یک گروه هکری در سه ماه گذشته مسیریابهای دیلینک (D-Link) را هدف حملات سایبری و سرقت ترافیک DNS قرار داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک گروه مجرم سایبری در سه ماه گذشته به دستگاههای مسیریاب خانگی (بهویژه مدلهای D-Link) نفوذ کرد و تنظیمات DNS آنها را تغییر داد تا ترافیک این مسیریابها را به سمت مقاصد مخرب هدایت کنند.
مهاجمان از اکسپلویتهای شناخته شده در firmware این مسیریابهای آسیبپذیر استفاده کردند و پیکربندی DNS آنها را بدون اطلاع کاربران تغییر دادند. مسیریابهای مورد هدف مدلهای زیر هستند. اعداد نوشته شده تعداد هر مسیریاب در معرض اینترنت است:
• D-Link DSL-۲۶۴۰B - ۱۴,۳۲۷
• D-Link DSL-۲۷۴۰R - ۳۷۹
• D-Link DSL-۲۷۸۰B - ۰
• D-Link DSL-۵۲۶B - ۷
• ARG-W۴ ADSL routers - ۰
• DSLink ۲۶۰E routers - ۷
• Secutech routers - ۱۷
• TOTOLINK routers - ۲,۲۶۵
به گفته کارشناسان، حملات در سه موج انجام شدهاست که در اواخر ماه دسامبر ۲۰۱۸، اوایل فوریه ۲۰۱۹ و اواخر مارس ۲۰۱۹ بودهاست. این حملات همچنان در حال انجام هستند.
هدف اصلی حملات تزریق آدرسهای IP مربوط به سرورهای DNS مخرب به مسیریابهای کاربران است. هکرها از چهار آدرس IP استفاده کردهاند. مهاجمان در این سرورهای DNS مخرب، آدرس IP سایتهای قانونی را با آدرس سایتهای تحت مدیریت خود تغییر دادهاند. مهاجم با این شیوه میتواند یک سایت فیشینگ ایجاد کند و کاربر در صورت مراجعه به یک سایت قانونی به سایت فیشینگ هدایت شود و درنتیجه گذرواژه کاربر به سرقت برود.
حملات تغییر DNS یا بهاصطلاح DNSChanger در گذشته نیز اتفاق افتادهاست، ازجمله یک عملیات تغییر DNS در برزیل در سال ۲۰۱۶ که مهاجمان ترافیک مربوط به سایتهای بانکی را تغییر دادند.
چهار آدرس IP مهاجمان در این عملیات موارد زیر هستند:
• ۶۶,۷۰.۱۷۳.۴۸
• ۱۴۴,۲۱۷.۱۹۱.۱۴۵
• ۱۹۵,۱۲۸.۱۲۶.۱۶۵
• ۱۹۵,۱۲۸.۱۲۴.۱۳۱