USD 97.05 ЕВРО 105.22

Хакеры используют браузеры для взлома роутеров

Аналитика

Киберпреступники разработали веб-инструмент, позволяющий в больших масштабах брать под контроль маршрутизаторы, когда пользователи посещают взломанные веб-сайты или просматривают вредоносную рекламу в браузерах.

Цель этих атак заключается в подмене DNS серверов в настройках маршрутизаторов на контролируемые злоумышленниками. Это позволяет хакерам перехватывать трафик, совершать спуфинг сайтов, перехватывать поисковые запросы, вставлять зловредную рекламу на веб-страницах и многое другое.

DNS – это телефонная книга Интернета и играет важную роль. DNS-сервер переводит доменные имена в цифровые IP адреса, которые необходимы компьютерам, чтобы общаться друг с другом.
DNS-работает в иерархическом порядке. Когда пользователь вводит имя веб-сайта в браузере, браузер запрашивает у операционной системы IP-адрес этого веб-сайта. ОС спрашивает локальный роутер, который затем запрашивает DNS-серверы, как правило, настроенные на серверы интернет провайдера. Цепь продолжается до тех пор, пока запрос не достигнет корневого DNS-сервера для доменного имени в запросе или до сервера, предоставляющего эту информацию из своего кэша.

Если злоумышленники вставят себя в этот процесс в любой момент, они могут ответить с помощью мошеннического IP адреса. Это обманывает браузер, попадающий на другой сервер, который может, например, воровать учетные данные пользователя.

Независимый исследователь безопасности в Интернете, известный как Kafeine, недавно обнаружил drive-by атаки, запускаемые со взломанных веб-сайтов, перенаправляющие пользователей на необычный набор веб-эксплойтов, который был специально разработан для взлома маршрутизаторов.

Подавляющее большинство наборов эксплойтов продаются на черных рынках и используются киберпреступниками для эксплуатации уязвимостей в устаревших плагинах браузеров, таких как Flash Player, Java, Adobe Reader или Silverlight. Их цель заключается в установке вредоносных программ на компьютерах, не имеющих последних патчей для популярного программного обеспечения.

Атаки, как правило, происходят таким образом: вредоносный код вводится на взломанные веб-сайты или включается в зловредную рекламу, автоматически перенаправляющую браузеры пользователей на атакующий сервер, который определяет их ОС, IP-адрес, географическое местоположение, тип браузера, установленные плагины и другие технические детали. На основе этих атрибутов сервер выбирает и запускает эксплойты из своего арсенала, которые, скорее всего, добьются успеха.

Kafeine отмечает, что атаки были разные. Пользователи Google Chrome были перенаправлены на вредоносный сервер, загружающий код для определения модели роутера, и заменяющий DNS-серверы в устройствах.

Многие пользователи считают, что если их маршрутизаторы не настроены для удаленного управления, хакеры не смогут из интернета использовать уязвимости в веб-интерфейсах администрирования, потому что такие интерфейсы доступны только изнутри локальных сетей.

Это не так. Такие атаки можно осуществить с помощью технологии, известной как межсайтовая подделка запроса (CSRF). Она позволяет вредоносному веб-сайту заставить браузер пользователя выполнять действия на другом веб-сайте. Целевой сайт может быть интерфейсом администрирования маршрутизатора, который доступен только через локальную сеть.

Многие веб-сайты в Интернете внедрили защиту от CSRF, но в маршрутизаторах обычно нет такой защиты.

Новый drive-by эксплойт, найденный Kafeine, использует CSRF, чтобы обнаружить более 40 моделей маршрутизаторов различных производителей, в том числе Asustek Computer, Belkin, D-Link, Edimax Technology, Linksys, Medialink, Microsoft, Netgear, Shenzhen Tenda Technology, TP-Link Technologies, Netis Systems, Trendnet, ZyXEL Communications и HooToo.

В зависимости от обнаруженной модели, инструмент атаки пытается изменить настройки DNS роутера, используя известные уязвимости или стандартные учетные данные администратора. Он также использует межсайтовую подделку запроса.

Если атака успешна, в качестве первичного сервера DNS в роутере устанавливается контролируемый атакующими сервер, а в качестве вторичного, который используется в случае отказа, установлен публичный DNS сервер Google. Таким образом, если вредоносный сервер временно не работает, маршрутизатор будет по-прежнему иметь совершенно функциональный DNS сервер для разрешения запросов, а его владелец не будет иметь никаких оснований, чтобы что-то заподозрить и перенастроить устройство.

Согласно Kafeine, одна из уязвимостей, эксплуатируемая этой атакой, затрагивает маршрутизаторы различных производителей и была раскрыта в феврале. Некоторые производители выпустили обновления прошивки, но число обновленных за последние несколько месяцев маршрутизаторов, вероятно, очень небольшое, сказал Kafeine.

Подавляющее большинство маршрутизаторов нужно обновлять вручную, а этот процесс требует некоторых технических навыков. Вот почему многие из них никогда не обновляются владельцами.

Злоумышленники знают это. Уязвимости, используемые этим набором эксплойтов, включают одну 2008 года, и еще одну 2013 года.

Похоже, что атака была осуществлена в крупном масштабе. Согласно информации Kafeine, в течение первой недели мая на сервера атакующих попали около 250000 уникальных посетителей в день, с пиком, приходящимся на 9 мая, в почти 1 миллион посетителей. Наиболее сильно были затронуты США, Россия, Австралия, Бразилия и Индия, но распределение трафика было более или менее глобальным.

Чтобы защитить себя, пользователи должны периодически проверять веб-сайты производителей на наличие обновления программного обеспечения своих маршрутизаторов и должны устанавливать их, особенно, если они содержат исправления уязвимостей безопасности. Если маршрутизатор позволяет это, они также должны ограничить доступ к интерфейсу администрирования IP-адресом, который стандартно не используется ни одним устройством, но который они могут вручную присвоить своему компьютеру, когда нужно внести изменения в настройки маршрутизатора.