Εδώ και περίπου ένα χρόνο, οι χρήστες της Βραζιλίας έχουν βρεθεί στο στόχαστρο των hackers, οι οποίοι χρησιμοποιούν ένα νέο τύπο επίθεσης μέσω router, που δεν που δεν έχει εμφανιστεί πουθενά αλλού.
Οι χρήστες δεν αντιλαμβάνονται τις επιθέσεις, ωστόσο είναι πολύ επικίνδυνες, καθώς μπορούν να να οδηγήσουν σε άμεσες οικονομικές απώλειες.
Αυτό θα πρέπει να θεωρηθεί ως μια προειδοποίηση τόσο για τους χρήστες όσο και για τους ISPs σε όλο τον κόσμο, ώστε να λάβουν προφυλάξεις και να προστατεύσουν τις συσκευές, προτού εξαπλωθούν οι επιθέσεις και σε άλλες χώρες.
Router DNS-changing επιθέσεις
Οι επιθέσεις στα router της Βραζιλίας ξεκίνησαν το περασμένο καλοκαίρι και εντοπίστηκαν από δύο εταιρείες ασφαλείας.
Τότε, οι hackers είχαν μολύνει πάνω από 100.000 routers σε σπίτια στη Βραζιλία, τροποποιώντας τις ρυθμίσεις του DNS τους.
Αυτές οι αλλαγές ανακατευθύνουν τους χρήστες σε κακόβουλα websites, ενώ εκείνοι προσπαθούν να αποκτήσουν πρόσβαση σε e-banking sites ορισμένων τραπεζών της Βραζιλίας.
Επίσης, ανακατευθύνουν τους χρήστες σε phishing sites, τα οποία υποτίθεται ότι οδηγούν στο Netflix, το Google και το PayPal. Στην πραγματικότητα, οι hackers χρησιμοποιούν αυτά τα sites για να κλέβουν τα credentials των χρηστών.
Σύμφωνα με μια έκθεση της Avast, οι επιθέσεις δεν έχουν σταματήσει. Κατά το πρώτο εξάμηνο του 2019, οι hackers τροποποίησαν τις ρυθμίσεις DNS σε περισσότερα από 180.000 routers της Βραζιλίας. Μάλιστα, οι επιθέσεις έχουν γίνει πιο πολύπλοκες.
Πώς γίνονται οι επιθέσεις;
Σύμφωνα με τους ερευνητές, τα περισσότερα routers παραβιάζονται, όταν οι χρήστες επισκέπτονται sites με αθλητικά και ταινίες.
Σε αυτά τα sites υπάρχουν κακόβουλες διαφημίσεις, οι οποίες εκτελούν έναν ειδικό κώδικα στον browser του χρήστη, που αναζητά και ανιχνεύει τη διεύθυνση IP και το μοντέλο ενός οικιακού router. Όταν εντοπιστούν αυτά τα δύο στοιχεία, οι κακόβουλες διαφημίσεις χρησιμοποιούν μια λίστα με προεπιλεγμένα ονόματα χρήστη και κωδικούς πρόσβασης για να συνδεθούν στις συσκευές των χρηστών.
Οι επιθέσεις δεν γίνονται αντιληπτές, γιατί οι χρήστες είναι απασχολημένοι με την παρακολούθηση ταινιών.
Εάν οι επιθέσεις είναι επιτυχείς, τότε θα προστεθεί και άλλος κακόβουλος κώδικας, ο οποίος θα τροποποιήσει τις προεπιλεγμένες ρυθμίσεις DNS στα routers των θυμάτων, αντικαθιστώντας τις DNS server IP διευθύνσεις, που λαμβάνουν τα routers από τους ISP με IP διευθύνσεις, που διαχειρίζονται οι hackers.
Έτσι, την επόμενη φορά, που το smartphone ή ο υπολογιστής θα συνδεθεί με το router, θα λάβει τις κακόβουλες IP διευθύνσεις και οι hackers θα μπορούν να ανακατευθύνουν τους χρήστες σε κακόβουλα sites.
GhostDNS, Navidade και SonarDNS
Σύμφωνα με την έρευνα της Avast, οι hackers χρησιμοποιούν δύο ειδικά kits γι’ αυτές τις επιθέσεις. Το πρώτο ονομάζεται GhostDN. Μια παραλλαγή του GhostDNS, με το όνομα Navidade, εμφανίστηκε, επίσης, τον Φεβρουάριο.
Σύμφωνα με την Avast, «το Novidade προσπάθησε να μολύνει τα routers των χρηστών της Avast πάνω από 2,6 εκατομμύρια φορές, μόνο τον Φεβρουάριο”.
Το δεύτερο kit ονομάζεται SonarDNS. Είναι ιδανικό για τον προσδιορισμό του τύπου του router και την εκμετάλλευση των στοχευμένων συσκευών.
Επιπλέον, οι επιθέσεις αντικαθιστούν τις νόμιμες διαφημίσεις με άλλες, που δημιουργούν κέρδη για τους εισβολείς και εισάγουν cryptominers για την κλοπή cryptocurrencies των χρηστών.
Κίνδυνος εξάπλωσης και σε άλλες χώρες
Οι επιθέσεις τροποποίησης των ρυθμίσεων DNS είναι από τις πιο επικίνδυνες, καθώς μπορούν να χρησιμοποιηθούν για την κλοπή χρημάτων από τους τραπεζικούς λογαριασμούς των χρηστών και είναι δύσκολο να εντοπιστούν.
Μέσω αυτών των επιθέσεων, οι hackers βγάζουν πολλά χρήματα. Γι’ αυτό αποτελεί μυστήριο το γεγονός ότι δεν έχουν εξαπλωθεί σε άλλες χώρες.
Οι χρήστες, που θέλουν να παραμείνουν ασφαλείς, μπορούν να ακολουθήσουν τις παρακάτω συμβουλές:
- Χρησιμοποιήστε σύνθετους κωδικούς πρόσβασης
- Κάντε ενημερώσεις στα routers
- Χρησιμοποιήστε custom DNS ρυθμίσεις στα routers
