Wykryty po raz pierwszy w sierpniu na routerach D-Linka w Brazylii atak typu DNSchanger rozszerzył się. W jego zasięgu znalazło się ponad 100 tysięcy urządzeń, ponad 70 różnych modeli.
Zaczęło się od ataku na klientów Banco de Brasil z wykorzystaniem przekierowania DNS, dzięki czemu byli oni przekierowywani na sklonowaną stronę internetową banku. Tam hakerzy pozyskiwali ich dane uwierzytelniająca, które pozwoliły okradać prawdziwe konta. Teraz specjaliści z Netlab 360 ostrzegają, że GhostDNS (tak nazwano ten atak) zaczął się mocno rozrastać, infekując kolejne urządzenia dostępowe.
Jak podaje The Register, atakujący próbowali uzyskać kontrolę nad maszynami docelowymi poprzez odgadnięcie hasła administratora sieci lub za pośrednictwem podatnego skryptu konfiguracji CGI DNS (dnscfg.cgi). Gdy operacja się udała, zmieniano domyślny serwer DNS na taki, nad którym hakerzy mieli pełną kontrolę. Atak GhostDNS wykorzystywał także trzy warianty DNSchengera, działające w trybie powłoki, jako program JavaScript lub program w Pythonie. Pierwszy z nich działa na 21 modelach routerów, drugi może zainfekować 6 modeli, natomiast wersja w Pythonie została zainstalowana na 100 serwerach, głównie w chmurze Google'a.
System GhostDNS składa się z czterech części: modułu DNSChanger, modułu Phishing Web, modułu administratora sieci oraz modułu fałszywego DNS.
Naukowcy z Netlab 360 informują, że opisywany atak związany jest przede wszystkim z brazylijskimi stronami internetowymi, także prawie 88% zainfekowanych urządzeń znajduje się w Brazylii. Atak został wykryty także w Boliwii, Argentynie, Meksyku, Wenezueli, USA, Rosji i w kilku innych krajach. Z kolei fałszywe serwery DNS działały na serwerach takich dostawców, jak Hostkey, Oracle, Multacom, Amazon, Google, Telefonica, Aruba i OVH. Firmy OHV, Oracle i Google wyrzuciły już napastników ze swojej infrastruktury, natomiast pozostałe pracują nad tym.
Na liście dostawców urządzeń, które są podatne na atak GhostDNS, znalazły się: A-Link, Alcatel/Technicolor, Antena, C3-Tech, Cisco, D-Link, Elsys, Fiberhome, Fiberlink, Geneko, Greatek, Huawei, Intelbras, Kaiomy, LinkOne, MikroTik , MPI Networks, Multilaser, OIWTECH, Perfect, Qtech, Ralink, Roteador, Sapido, Secutech, Siemens, Technic, Tenda, Thomson, TP-Link, Ubiquiti, Viking, ZTE i Zyxel. Na liście znalazł się także 3Com, który dawno temu zniknął z półek sklepowych. Spekuluje się, że ponieważ lista dostawców była kompilowana przez zapytania skierowane do zainfekowanych urządzeń, nazwa 3Com mogła przetrwać w oprogramowaniu niektórych urządzeń firmy HP.
Źródło tekstu: The Register
