Новая фарминг-атака с подменой DNS-настроек роутера

Фарминг-атака (pharming) — это, по сути, сетевое вторжение, целью которого является перенаправление веб-трафика жертвы на сервер, контролируемый злоумышленниками; обычно это достигается путем изменения настроек DNS на сетевых устройствах. Некоторые из таких атак начали осуществляться через Интернет и посредством спамовых и фишинговых рассылок.
Исследователи из «Лаборатории Касперского», наблюдающие этот тренд уже некоторое время, в сентябре обнаружили целевую кампанию, ориентированную на бразильских владельцев домашних роутеров. В ходе этой атаки злоумышленники применили комбинацию drive-by-загрузок и элементов социальной инженерии, чтобы похитить регистрационные данные для систем онлайн-банкинга и других ценных веб-сервисов.
В конце минувшего месяца компания Proofpoint, специализирующаяся на защите систем обмена сообщениями, опубликовала отчет о новейшей итерации фарминг-атаки, также проведенной в Бразилии. В ходе этой вредоносной кампании, которая стартовала в декабре и продолжалась до середины января, исследователи наблюдали малотиражные фишинговые рассылки объемом менее 100 сообщений, адресованные клиентам одного из крупнейших поставщиков телекоммуникационных услуг в стране — компании Oi, недавно переименованной в Telemar Norte Leste S/A.
Авторы фишингового письма предупреждали получателей об окончании срока действия аккаунта и предлагали пройти по ссылке, чтобы исправить ситуацию. Как оказалось, указанные фишерами страницы были специально созданы для эксплуатации известных CSRF-уязвимостей в роутерах UTStarcom и TP-Link, распространяемых телеоператором Oi.
Вредоносный iFrame с внедренным JavaScript также пытался получить доступ к странице администратора перебором дефолтных логина и пароля. В случае успеха злоумышленникам открывалась возможность изменить настройки DNS: в качестве основного DNS-сервера подставить контролируемый ими IP-адрес, в качестве альтернативного — публичный DNS Google.
«Подстановка действующего DNS-сервера как альтернативы позволяла сохранить обслуживание DNS-запросов клиентов данной сети при потере доступа к DNS злоумышленников, — поясняют эксперты в информационном бюллетене. — В этом случае невелик шанс, что пользователь обнаружит проблему и обратится за помощью в техподдержку телеком-провайдера, специалисты которого в состоянии отследить и исправить привнесенные модификации».
При таком способе атаки злоумышленникам не нужно взламывать общедоступные DNS-серверы, чтобы перенаправить трафик. Он также облегчает проведение MitM-атак, необходимых для перехвата банковских реквизитов или ключей к почтовым ящикам.
«Это весьма элегантная схема, — комментирует Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по инновациям в сфере защиты и управления данными. — Такая атака, судя по тому, как она выстроена, почти незаметна. На лэптопе не остается никаких следов, кроме присланного [фишингового] сообщения, и компрометацию в данном случае сможет обнаружить лишь профессиональный безопасник, авторизовавшийся в роутере».
Лучшей страховкой от таких атак является смена пароля на роутере, особенно если пароль был предоставлен интернет-провайдером и до сих пор используется по умолчанию.
Данная проблема не ограничивается точечными атаками на территории Бразилии, потенциально уязвим любой роутер с дефолтными регистрационными данными. Фабио Ассолини (Fabio Assolini) из «Лаборатории Касперского», живущий в этой стране, наблюдает такие атаки в среднем четыре раза в сутки. «Речь идет не о единичной фарминг-кампании, это массовое явление», — подтверждает эксперт.
В последние год-полтора взломы роутеров происходят все чаще, растет и число исследователей, старающихся определить масштаб и серьезность проблемы. В некоторых случаях, как с уязвимостью Misfortune Cookie в популярном встроенном сервере RomPager, в группе риска оказываются миллионы сетевых устройств, включая домашние роутеры. Так, на прошлогодней конференции DEF CON конкурсанты SOHOpelessly Broken продемонстрировали 15 уязвимостей нулевого дня в роутерах, о которых впоследствии было доложено вендорам, и они были успешно устранены.
Авторы обнаруженной Proofpoint атаки охотились лишь за ключами к системам онлайн-банкинга, однако их аппетиты, по свидетельству Эпштейна, растут. «Насколько мы можем судить [по PoC‑эксплойтам], атакующие преследуют финансовые интересы, что типично для большинства киберпреступлений, однако используемая ими техника применима и в других случаях, — заявил эксперт. — Если требуется перехватить трафик для проведения DDoS‑атаки или для проникновения в сети компании, этот способ тоже годится, так как позволяет полностью контролировать пользователя по принципу «человек посередине».

Источник

новая?