برای حدود یک سال، کاربران برزیلی با نوع جدیدی از حملات روتر مورد هدف قرار گرفته اند که در هیچ جای دنیا دیده نشده است.
حملات تقریبا نامرئی برای کاربران نهایی است و می تواند عواقب فاجعه بار داشته باشد، که توانایی منجر به تلفات مستقیم مالی برای کاربران هک شده است.
آنچه که در حال حاضر در روترها در برزیل اتفاق می افتد، باید یک نشان هشدار دهنده برای کاربران و ISP های سراسر جهان باشد که باید قبل از حملات مشاهده شده در کشور آمریکای جنوبی به آنها، اقدامات احتیاطی نیز لازم باشد.
ردیاب DNS-تغییرات ATTACKS
حملات هدف قرار دادن روترها در برزیل در تابستان گذشته آغاز شد و برای اولین بار توسط شرکت امنیتی Radware از امنیت سایبری مشاهده شد و یک ماه بعد از آن توسط محققان امنیتی Netlab، یک واحد شکار شبکه ای از Qihoo 360 غول پیکر امنیتی سایبری چینی.
در آن زمان، دو شرکت توضیح دادند که چگونه یک گروه از مجرمان اینترنتی بیش از 100،000 روتر خانگی در برزیل را آلوده کرده و تنظیمات DNS خود را تغییر داده اند.
تغییرات انجام شده به این روترها هر زمان که آنها سعی در دسترسی به سایت های بانکداری الکترونیک برای برخی از بانک های برزیل داشتند، کاربران آلوده به وب سایت های کلون مخرب را هدایت می کردند.
چندین ماه بعد، در آوریل سال 2019، حملات مشابهی توسط شرکت امنیتی Bad Pakets که یکی دیگر از موج های حملات را مشخص کرده بود، دیده می شد، اما این بار هدف اصلی آن در برابر روترهای D-Link بود، همچنین بر روی ISP های برزیلی میزبانی شد.
بر اساس تحقیقات محققان در Ixia، این بار دیگر، علاوه بر ربودن کاربران بازدید از بانکهای برزیل، هکرها نیز کاربران را به صفحات فیشینگ برای Netflix، Google و PayPal هدایت می کردند تا مدارک خود را جمع آوری کنند.
اما بر اساس گزارش منتشر شده توسط Avast در این هفته، این حملات متوقف نشده است. در واقع، به گفته شرکت، در نیمه اول سال 2019، هکرها آلوده و تنظیمات DNS بیش از 180،000 روتر برزیل را تغییر داده اند.
علاوه بر این، پیچیدگی حملات افزایش یافته است و تعداد بازیگران درگیر در حملات نیز افزایش یافته است.
چطوری روتر هک می شود
به گفته محققان Avast، دیوید یورسا و Alexej Savcin، اکثر کاربران برزیلی در حال بازدید از سایت های ورزشی و فیلم های جریان یافته یا پورتال های بزرگسالان، روترهای خانگی خود را هک می کنند.
در این سایت ها، تبلیغات مخرب (malvertising)، کد خاصی را در مرورگرهای کاربران برای جستجوی و شناسایی آدرس IP روتر خانگی، مدل روتر، اجرا می کنند. هنگامی که آنها IP و مدل روتر را شناسایی می کنند، تبلیغات مخرب پس از استفاده از لیست نام کاربری و رمزهای عبور پیش فرض برای ورود به دستگاه های کاربران، بدون دانش آنها.
حملات به مدتی طول می کشد، اما اکثر کاربران چیزی را متوجه نمی شوند زیرا معمولا اشتباه می کنند جریان های ویدیویی را در وبسایتهایی که فقط دسترسی داشته اند تماشا می کنند.
اگر حملات موفقیت آمیز باشد، کد مخرب اضافی از طریق تبلیغات مخرب از طریق تنظیمات پیش فرض DNS در روترهای قربانیان تغییر می یابد و جایگزین سرور DNS روتر های آی پی آدرس از ISP های بالادستی با آدرس های آی پی سرورهای DNS مدیریت شده توسط هکرها دریافت می کنند.
دفعه بعد که گوشی های هوشمند یا رایانه های کاربران به روتر متصل می شوند، آدرس IP های سرور DNS مخرب را دریافت می کنند و به این ترتیب، تمام درخواست های DNS را از طریق سرور های مهاجم طرد می کند و به آنها اجازه می دهد تا از ترافیک به کلون های مخرب ربوده و تغییر مسیر دهند.
GHOSTDNS، NAVIDADE، و SONARDNS
هکرها در طی تحقیقات Avast از دو کیت ویژه برای این حملات استفاده کرده اند. اولین مورد GhostDNS نامیده می شود و یکی از آن هاست که از تابستان گذشته اولین بار دیده شده است و بت نت در سال گذشته توسط Radware و Netlab شرح داده شده است.
یک نوع از GhostDNS، نام ناوادید نیز در ماه فوریه ظاهر شد.
در طی Avast، Novidade تلاش کرد که روترهای کاربران Avast بیش از 2.6 میلیون بار در ماه فوریه را آلوده کند و از طریق سه کمپین گسترش یافت. "
علاوه بر این، از اواسط ماه آوریل، یک بازیکن دیگر وارد بازار شد. Avast این بوتنت جدید را SonarDNS می نامد زیرا مهاجم به نظر می رسد که چارچوب تست نفوذ نام Sonar.js را به عنوان ستون فقرات برای زیرساخت آنها تعیین کرده است.
و Sonar.js برای حملات روتر مناسب است. این کتابخانه جاوا اسکریپت به طور معمول توسط آزمایشکنندگان نفوذ برای شناسایی و راه اندازی سوءاستفاده ها بر علیه میزبان های شبکه داخلی استفاده می شود و برای تعیین یک نوع روتر و اجرای سوء استفاده بر روی دستگاه هدف تنها با چند خط کد، ایده آل است.
Avast می گوید SonarDNS را در سه کمپین مختلف طی سه ماه گذشته مشاهده کرده است و به نظر می رسد که شیوه عملکرد آن شباهت به چگونگی استفاده از GhostDNS را دارد.
جایگزینی AD و CRYPTOJACKING
اما حملات انفجار DNS با هدف روترها در برزیل هنوز ادامه نیافته است و همچنین تکامل یافته است. علاوه بر ربودن ترافیک و هدایت کاربران به صفحات فیشینگ، گروه های هکر در پشت این حملات نیز ترفندهای بیشتری را به زرادخانه خود اضافه کرده اند.
اول این است که از ترافیک کاربر ربوده و جایگزین تبلیغات مشروع با تبلیغاتی می شود که برای مهاجمان سود آور است.
این تاکتیک جدید نیست. در سال 2016، محققان Proofpoint یک کیت سوءاستفاده را کشف کردند که آنها DNSChanger EK را نام بردند که همین کار را انجام دادند - جایگزین تبلیغات مشروع با آنهایی که مخرب هستند - و بیشتر احتمال دارد که الگویی برای اپراتورهای بت نت باشد که برزیل را هدف قرار می دهند.
دوم، اپراتورهای GhostDNS، Navidade و SonarDNS نیز اسکریپت رمزگذاری و رمزگذاری مبتنی بر مرورگر را مستقر کرده اند. این آخرین تاکتیک در سال گذشته در برزیل دیده شده است، در حالی که گروه دیگری بیش از 200،000 روتر Microtik را ربوده و معدنچیان cryptocurrency در مرورگر را به ترافیک وب کاربران اضافه کرده است.
خطر گسترش به دیگر کشورها
اما با وجود همه اینها، حملات تغییر DNS، آنهایی هستند که برای کاربران نهایی خطرناک هستند. این به این دلیل است که اپراتورهای بت نت اعتبار کاربران فیشینگ، ربودن پروفایل های آنلاین یا سرقت پول از حساب های بانکی کاربران هستند.
با وجود اینکه حملات به طور ناگهانی، سخت شناسایی و بسیار سودآور است، هنوز هم رمز و راز این است که آنها به سایر کشورها گسترش نیافته اند.
روتر هکینگ ارزان و آسان است. با این حال، اکثر بوتنت های IoT امروز این دستگاه ها را برای انجام حملات DDoS تحریم می کنند و یا به عنوان پروکسی ها برای ترافیک بد، حملات غیرقابل حمل یا حملات اعتبارنامه عمل می کنند. استفاده از روترها برای فیشینگ راهی سودآور خواهد بود.
کاربرانی که می خواهند در مقابل هر بوتت IoT که مسیریاب را برای تغییر تنظیمات DNS هدف قرار می دهد، به چندین گزینه دسترسی داشته باشند:
از کلمه عبور مدیریت روتر پیچیده استفاده کنید
روترها را به روز نگهدارید
از تنظیمات DNS سفارشی در دستگاه های خود استفاده کنید، که مانع از درخواست سیستم تنظیمات DNS از مسیریاب محلی می شود
