بر اساس گزارش شرکت آواست، تنظیمات DNS بیش از ۱۸۰ هزار روتر در برزیل در ۳سهماهه نخست سال ۲۰۱۹ تغییر کردهاند.
منبع : سایبربان
بر اساس گزارش شرکت آواست، تنظیمات DNS بیش از ۱۸۰ هزار روتر در برزیل در ۳سهماهه نخست سال ۲۰۱۹ تغییر کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کاربران برزیلی برای حدود یک سال، هدف نوع جدیدی از حمله روتری (router attack) بودند که در هیچ جای دیگر دنیا مشاهده نشدهبود. این تهاجمها، تقریباً از دید کاربران نهایی نامرئی هستند و توانایی ایجاد خسارات مالی به قربانیان و به وجود آورند عواقب فاجعهبار دارند.
اتفاقات اخیر روی روترها در برزیل باید علامت هشداری برای کاربران و تأمینکنندگان خدمات اینترنت (ISP) در سراسر جهان باشد. به عبارتی دیگر باید قبل از این که حملهی یاد شده در دیگر نقاط گسترش پیدا کند، دستگاههای مورد استفاده ایمن شوند.
حملات روی روترها در برزیل از تابستان ۲۰۱۸ آغاز و برای نخستینبار بهوسیله شرکت امنیت سایبری Radware و یک ماه بعد بهوسیله محققان امنیتی Netlab، واحد شکار تهدید شبکهای Qihoo ۳۶۰ (غول امنیت سایبری چینی) مشاهده شد.
در آن زمان، هر دو شرکت نحوه نفوذ گروهی از مجرمان سایبری روی بیش از ۱۰۰ هزار روتر خانگی در برزیل و تغییر تنظیمات DNS آنها را توضیح دادند.
تغییرات انجامشده روی روترها، کاربران آلوده را هنگام درخواست به منظور دسترسی به سایتهای بانکداری الکترونیک برای برخی بانکهای برزیل به وبسایتهای مخرب هدایت میکرد.
چندماه بعد در آوریل ۲۰۱۹ حملاتی مشابه بهوسیله شرکت مخابرات تهدید Bad Packets مشاهده شد. اینبار، هدف اصلی، روترهای D-Link به میزبانی تأمینکنندگان خدمات اینترنتی برزیلی بودند.
به گفته محققان Ixia، اینبار علاوهبر سرقت اطلاعات کاربران بازدیدکننده از بانکهای برزیل، هکرها کاربران را به صفحات فیشینگ نتفلیکس (Netflix)، گوگل و پیپال برای جمعآوری اعتبارنامههایشان هدایت میکردند، اما براساس گزارش منتشر شده از سوی Avast، این حملات هنوز متوقف نشدهاند. درحقیقت، شرکت اعلام کرد که در نیمه اول سال ۲۰۱۹ هکرها تنظیمات DNS بیش از ۱۸۰ هزار روتر برزیلی را آلوده کردند و آنها را تغییر دادهاند. علاوهبر افزایش پیچیدگی حملات، تعداد عوامل دخیل در حملات نیز به نظر افزایش یافتهاند.
دیوید یورسا (David Jursa) و الکسیچ ساچین (Alexej Savčin)، محققان شرکت Avast اظهار داشتند که روترهای خانگی اکثر کاربران برزیلی هنگام بازدید از سایتهای ورزشی و فیلم یا پورتالهای بزرگسالان هک شدهاند. در این سایتها، تبلیغات مخرب (malvertising) کد خاصی را در مرورگرهای کاربران برای جستوجو و شناسایی آدرس IP روتر خانگی – مدل روتر – اجرا میکنند. با شناسایی مدل و آیپی روتر، تبلیغات مخرب از اسامی کاربری و رمزهای عبور پیشفرض برای ورود به دستگاههای کاربران – بدون اطلاعشان – استفاده میکنند.
حملات، مدتی طول کشیدند؛ اما اکثر کاربران به آنها توجهی نداشتند، زیرا معمولاً مشغول دیدن ویدئوها در وبسایتهایی بودند که به آنها دسترسی داشتند.
اگر حملات موفقیتآمیز باشند، کد مخرب اضافی تقویت شده از طریق تبلیغات مخرب تنظیمات پیشفرض DNS در روترهای قربانیان را تغییر خواهد داد و روترهای آدرس آیپی سرور دیاناس دریافت شده از تأمین کنندگان خدمات اینترنتی را با آدرسهای آیپی سرورهای دیاناس مدیریت شده بهوسیله هکرها جایگزین میکند.
در اتصال بعدی تلفن هوشمند یا رایانه کاربران به اینترنت، آدرسهای آیپی سرور دیاناس مخرب دریافت خواهد شد و به این ترتیب تمام درخواستهای دیاناس را از طریق سرورهای هکر اجرا خواهد کرد و به مهاجمان اجازه سرقت و هدایت مجدد ترافیک به کلونهای مخرب را میدهد.
GHOSTDNS، NAVIDADE و SONARDNS طبق تحقیقات Avast، هکرها از دو کیت ویژه برای این حملات استفاده کردهاند. اولین مورد GhostDNS نام دارد که نخستینبار تابستان گذشته مشاهده شده و باتنتی است که سال قبل بهوسیله شرکتهای Radware و Netlab توصیف شد. یک نمونه GhostDNS به نام Navidade در ماه فوریه ۲۰۱۹ کشف شد.
به گفته آواست، Novidade تلاش کرد که روترهای کاربران شرکت را بیش از ۲.۶ میلیون بار در ماه فوریه امسال آلوده کند و از طریق سه کمپین گسترش یافت. علاوهبر این از اواسط ماه آوریل یک عامل دیگر وارد بازار شد. این باتنت جدید SonarDNS نام دارد زیرا مهاجم به نظر یک چارچوب تست نفوذ به نام Sonar.js، بهعنوان ستون فقرات زیرساخت دارد.
ماژول Sonar.js، برای حملات روتری عالی است. کتابخانه جاوا اسکریپت بهطور معمول بهوسیله آزمایشکنندگان نفوذ برای شناسایی و راهاندازی سوءاستفادهها علیه میزبانهای شبکه داخلی استفادهمیشود و برای تعیین یک نوع روتر و اجرای بهرهبرداری روی دستگاه هدف تنها با چند خط کد ایدهآل است.
شرکت آواست ادعا میکند که SonarDNS را در سه کمپین مختلف طی سهماه گذشته مشاهده کردهاست و به نظر میرسد شیوه عملکرد آن تقلیدی از عملکرد GhostDNS باشد.
جایگزینی تبلیغ و سرقت ارز هنوز با حملات سرقت DNS با هدف روترها در برزیل مقابله نشدهاست و این تهاجمات هنوز در حال تکامل هستند. علاوهبر ربودن ترافیک و هدایت کاربران به صفحات فیشینگ، گروههای هکر مجری این حملات نیز ترفندهای بیشتری را یاد گرفتهاند. اولین ترفند، جداسازی ترافیک کاربر و جایگزین کردن تبلیغات قانونی با تبلیغاتی است که برای مهاجمان سودآور باشد.
این روش جدید نیست. در سال ۲۰۱۶، محققان Proofpoint کیتی به نام DNSChanger EK کشف کردند که همین کار جایگزینی تبلیغات قانونی با موارد مخرب را انجام میداد و بیشتر الگویی برای اپراتورهای باتنت است که اکنون برزیل را هدف قرار دادهاند.
دوم اینکه، اپراتورهای GhostDNS، Navidade و SonarDNS همچنین اسکریپتهای سرقت ارز دیجیتالی مبتنی بر مرورگر را گسترش دادند. این آخرین تاکتیک در سال گذشته در برزیل دیده شده است؛ زمانی که هکرها بیش از ۲۰۰ هزار روتر Mikrotik را دزدیدند و دریافتکنندگان ارزهای دیجیتال را به ترافیک وب کاربران اضافه کردند.
خطر شیوع به کشورهای دیگر با وجود همه موارد بالا، حملات تغییر DNS برای کاربران نهایی، خطرناکترین نوع تهاجم محسوب میشوند، زیرا اپراتورهای باتنت علاوه بر ربودن اعتبارنامههای کاربران، پروفایلهای آنلاین یا پولهای حسابهای بانکی آنها را به سرقت میبرند.
در حالی که تشخیص حملات بسیار سخت است، عدم شیوع آنها به کشورهای دیگر هنوز در هالهای از ابهام قرار دارد.
هک روترها ارزان و سریع است. با این حال امروزه اکثر باتنتهای اینترنت اشیا از این دستگاهها برای اجرای حملات انکار سرویس توزیع شده (DDoS) یا به عنوان پروکسیها برای حملات کورکورانه و با ترافیک بد استفادهمیکنند. استفاده از روترها برای فیشینگ راهی سودآور خواهدبود.