Zapisy przechowywane w DNS spełniają rolę analogiczną do książki telefonicznej, tłumacząc zrozumiałe dla człowieka adresy URL, takie choćby jak google.com, na adresy numeryczne, którymi operuje Internet. Problem występuje wtedy, gdy komuś uda się zmienić translację adresu tak, że przeglądarka przeniesie internautę na specjalnie spreparowaną fałszywą stronę, zamiast na przykładowy google.com.
Atak, znany jako przejęcie DNS, może być wykorzystany przez przestępców internetowych do kierowania ruchu na fałszywą witrynę, która będzie próbowała zainfekować złośliwym oprogramowaniem odwiedzający ją komputer, wyświetlać przynoszące zysk reklamy lub przeprowadzić procedurę phishingową, mającą na celu wyłudzenie nazw użytkowników i haseł.
Internauta może nie być świadomy tego, że coś jest nie w porządku, ponieważ przeglądarka nadal poświadcza obecność na stronie google.com lub – na przykład – na stronie logowania do jego banku.
Na swoim blogu badacz bezpieczeństwa Troy Mursch pisze, że po raz pierwszy zobaczył dowody ataków 29 grudnia 2018 r., kiedy to wiele modeli modemów DSL marki D-Link stało się celem ataków. Należały do nich routery D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B i D-Link DSL-526B.
W ataku tym ustawienia DNS przechwyconych urządzeń zostały zmienione tak, by kierowały na nieuczciwy serwer DNS hostowany przez OVH Canada.
W lutym 2019 r. rozpoczęła się kolejna fala ataków, wymierzonych znowu we wrażliwe routery D-Link, i ponownie kierująca zhakowane urządzenia na nieuczciwy serwer DNS obsługiwany przez OVH Canada.
W zeszłym miesiącu, 26 marca, nastąpiła najnowsza fala ataków, w której lista narażonych routerów została rozszerzona o modele ARG-W4, SSLink 260E, Secutech i TOTOLINK. Te ostatnie ataki kierowały zapytania DNS do nieuczciwych serwerów hostowanych w Rosji przez Inoventica Sercices.
- Tego typu ataki podkreślają znaczenie utrzymywania należytej „higieny” urządzeń mających dostęp do Internetu. Luki w zabezpieczeniach D-Link, które wykorzystano w atakach, załatane zostały lata temu, ale wielu użytkowników nie zainstalowało wymaganych poprawek – prawdopodobnie z powodu braku świadomości problemu. Ważne jest, aby oprogramowanie routerów domowych było na bieżąco aktualizowane. Urządzenia, w których nadal funkcjonuje nieaktualne oprogramowanie układowe mogą być narażone na zmieniające ustawienia DNS ataki hakerskie – mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe
Chociaż jeszcze nie wiemy dokładnie, z jakich stron internetowych ruch przekierowywany był po przejęciu DNS, to prawdopodobnym wydaje się scenariusz, w którym użytkownicy przenoszeni byli na fałszywe strony banków, gdzie posługując się technikami phishingowymi próbowano wyłudzić od nich hasła.
[Aktualizacja - 10.04.2019 r. Stanowisko firmy OVH]
Jako OVH jesteśmy wdzięczni Bad Packet Report za badanie i podjęte działania. Bezpieczeństwo użytkowników Internetu jest dla nas niezmiennie ważne, dlatego przykładamy wagę, aby korzystanie z naszych serwerów było zgodne z prawem, jak i obowiązującymi warunkami sprzedaży. Wspomniane adresy IP zostały przez nas zawieszone, a OVH monitoruje sytuację na bieżąco.
Komentarze