Хакеры изменяют настройки маршрутизаторов для перехвата трафика

5 апрель, 2019 - 11:35

Хакеры изменяют настройки маршрутизаторов для перехвата трафика

На протяжении нескольких последних месяцев группа хакеров осуществляет масштабную кампанию по взлому домашних маршрутизаторов. Используя хорошо известные эксплойты в прошивке таких устройств, они незаметно для владельцев изменяют конфигурацию DNS-серверов и перенаправляют трафик с подлинных веб-сайтов на их криминальные клоны.

Основную массу инфицированных маршрутизаторов составляют DSL-2640B производства D-Link, поисковик BinaryEdge нашёл 14377 таких скомпрометированных устройств. Далее по количеству взломов следуют роутеры TOTOLINK — 2265, D-Link DSL-2740R — 379, Secutech — 17, D-Link DSL-526B и DSLink 260E — по 7 происшествий на каждый.

Трой Марш (Troy Mursch), основавший фирму мониторинга Интернета, Bad Packets, выделил три волны атак, изменяющих DNS-настройки маршрутизаторов: в декабре 2018 г., в начале февраля 2019 г. и в конце марта 2019 г. Он подчеркнул, что опасность сохраняется и сейчас.

Владельцам маршрутизаторов эксперт рекомендует проверить прописанные в их конфигурации серверы DNS. При обнаружении в настройках какого-либо из этих четырёх адресов — 66.70.173.48; 144.217.191.145; 195.128.126.165; 195.128.124.131 — необходимо как можно быстрее обновить программную прошивку маршрутизатора.

Из атак такого типа, носящих коллективное название DNSChanger, наиболее известны инцидент в Бразилии в 2016 г. с перенаправлением банковского трафика на фишинговые сайты и прошлогодняя диверсия группы кибершпионажа Roaming Mantis.