Pavadinta „GhostDNS“, kampanija turi daug panašumų su „DNSChanger“ kenkėjiška programa, kuri veikia pakeitus DNS serverio nustatymus užkrėstame įrenginyje, todėl užpuolikai gali nukreipti naudotojų interneto srautą per kenkėjiškus serverius ir pavogti slaptus duomenis.

Pagal naują kibernetinio saugumo bendrovės „Qihoo 360 NetLab“ ataskaitą, kaip ir per „DNSChanger“ kampaniją, „GhostDNS“ nuskaito maršrutizatorių IP adresus ir kuriuose įrenginiuose palikti gamykliniai nustatymai arba iš viso be slaptažodžių, pasiekia maršrutizatorių nustatymus ir pakeičia maršrutizatoriaus numatytąjį DNS adresą į tą, kurį kontroliuoja užpuolikai.

„GhostDNS“ sistema daugiausia apima keturis modulius:

1) DNSChanger modulis: tai pagrindinis „GhostDNS“ modulis, skirtas naudoti tikslinę informaciją remiantis maršrutizatorius surinkta informacija.

DNSChanger modulis susideda iš trijų modulių, kuriuos mokslininkai pavadino „Shell DNSChanger“, „Js DNSChanger“ ir „PyPhp DNSChanger“.

a.) Shell DNSChanger – parašyta Shell programavimo kalba, šis sub modulis sujungia 25 scenarijus, kurie gali pakeisti slaptažodžius maršrutizatoriuose arba programinės įrangos paketuose iš 21 skirtingo gamintojo.

b.) Js DNSChanger – daugiausia parašyta „JavaScript“, šis submodulis apima 10 atakų scenarijus, skirtus užkrėsti 6 maršrutizatorius arba programinės įrangos paketus.

„Jo funkcinė struktūra daugiausia yra padalinta į skenavimą, paketų generatorių ir atakų programas. „Js DNSChanger“ programa paprastai jau būna įdiegta sukčiavimo svetainėse, todėl ji veikia kartu su „Phishing Web System“, – teigia mokslininkai.

c.) PyPhp DNSChanger – parašytas tiek Python, tiek PHP šis submodulis turi 69 atakų scenarijus, palyginti su 47 skirtingais maršrutizatoriais ir buvo rastas naudojamas daugiau nei 100 serverių, iš kurių dauguma yra „Google“ debesyje, ir apima tokias funkcijas kaip „Web API“, „Scanner“ ir „Attack“ modulius.

Šis modulis yra pagrindinis „DNSChanger“ modulis, kuris leidžia užpuolikams nuskaityti internetą ir rasti pažeidžiamus maršrutizatorius.

2) Web modulio administratorius: nors mokslininkai dar neturi per daug informacijos apie šį modulį, atrodo, kad po juo slepiasi administratoriaus skydas, apsaugotas prisijungimo puslapiu.

3) „Rogue DNS“ modulis: šis modulis yra atsakingas už tikslinių domenų vardų iš užpuolikų valdomų žiniatinklio serverių, daugiausia susijusios su banko ir debesų prieglobos paslaugomis ir domeno, kuris priklauso apsaugos bendrovei „Avira“ adresavimą.

„Mes neturime prieigos prie „Rouge DNS“ serverio, todėl negalime tiksliai pasakyti, kiek DNS vardų buvo užgrobta, tačiau užklausus „Alexa Top1M“ ir „DNSMon Top1M“ domenus prieš kenkėjišką DNS serverį (139.60.162.188), mes sugebėjome rasti iš viso 52 domenus, kurie buvo užgrobti “, – teigia „NetLab“ mokslininkai.

4) Žiniatinklio sukčiavimo modulis: kai tikslinis domenas sėkmingai pakeičiamas nesąžiningais DNS moduliais, sukčiavimo žiniatinklyje modulis siekia sukurti tinkamą šios konkrečios svetainės versiją.

Pasak mokslininkų, nuo rugsėjo 21 iki 27 d. „GhostDNS“ apkrėtė daugiau nei 100 000 maršrutizatorių, iš kurių 87,8 procentai įrenginių (tai yra 87 800) yra tik Brazilijoje, o tai reiškia, kad pagrindinis „GhostDNS“ užpuolikų tikslas yra Brazilija.

Kadangi „GhostDNS“ kampanija labai išplėsta, ji naudoja skirtingą atakos vektorių ir priima automatinį užpuolimo procesą, tai kelia realią grėsmę vartotojams. Todėl vartotojams patariama apsisaugoti.

Kaip apsaugoti savo namų maršrutizatorių nuo įsilaužėlių

Siekiant išvengti tokių atakų aukos, rekomenduojama užtikrinti, kad jūsų maršrutizatorius naudotų naujausią aparatinės įrangos versiją ir nustatytų stiprų prisijungimo per naršyklę slaptažodį.

Taip pat galite apsvarstyti išjungti nuotolinį administravimą, pakeisti numatytąjį vietinį IP adresą ir patikimą DNS serverio adresą susivestią į savo maršrutizatorių ar operacinę sistemą.

„NetLab“ tyrėjai taip pat rekomendavo maršrutizatorių tiekėjams padidinti maršrutizatoriaus numatytojo slaptažodžio sudėtingumą ir pagerinti jų produktų saugos naujinimo mechanizmą.

Užkrėsti maršrutizatoriai

AirRouter AirOS
Antena PQWS2401
C3-TECH Router
Cisco Router
D-LINK DIR-600
D-LINK DIR-610
D-LINK DIR-615
D-LINK DIR-905L
D-LINK ShareCenter
Elsys CPE-2n
Fiberhome
Fiberhome AN5506-02-B
Fiberlink 101
GPON ONU
Greatek
GWR 120
Huawei
Intelbras WRN 150
Intelbras WRN 240
Intelbras WRN 300
LINKONE
MikroTik
Multilaser
OIWTECH
PFTP-WR300
QBR-1041 WU
Roteador PNRT150M
Roteador Wireless N 300 Mbps
Roteador WRN150
Roteador WRN342
Sapido RB-1830
TECHNIC LAN WAR-54GS
Tenda Wireless-N Broadband Router
Thomson
TP-Link Archer C7
TP-Link TL-WR1043ND
TP-Link TL-WR720N
TP-Link TL-WR740N
TP-Link TL-WR749N
TP-Link TL-WR840N
TP-Link TL-WR841N
TP-Link TL-WR845N
TP-Link TL-WR849N
TP-Link TL-WR941ND
Wive-NG routers firmware
ZXHN H208N
Zyxel VMG3312