D-Linkovi usmerjevalniki že tri mesece tarče napadov

Od začetka leta so se neznani napadalci lotevali mrežnih usmerjevalnikov D-Link, prek katerih so napadali običajne uporabnike interneta. Med tarčami so bili D-Link DSL-2640B, DSL-2740R, DSL-2780B in DSL-526B, pa tudi nekaj drugih. Napadalci so zlorabili znane ranljivosti v firmwaru in v usmerjevalnike podtaknili lažne naslove strežnikov DNS.

Tako so uporabniki pri deskanju po internetu dobili napačne naslove. Ko je brskalnik vprašal, na katerem naslovu IP najde neko domeno, ga je usmerjevalnik preusmeril na lažen DNS, ki je odgovoril z zlonamernim naslovom IP. Na teh naslovih so stale kopije strani, kot so PayPal, Google ali Netflix. Če so uporabniki na teh straneh izdali kakšne osebne podatke, so šli ti v roke napadalcev.

Prvi val napadov se je zgodil konec decembra in v začetku januarja, drugi v začetku februarja, tretji pa konec marca. V zadnjih primeri sta se pojavljala naslova strežnikov DNS (195.128.126.165 in 195.128.124.131), ki gostujeta v Rusiji pri Inoventica Services. Podobne napade smo v preteklosti že videli. Za začetnika velja DNSChanger, s katerim so napadalci v zadnjih letih zbrali 14 milijonov dolarjev.

V napadih se napadalci zlorabili Google Cloud Platform. Omenjena storitev je namreč na voljo vsem, ki imajo svoj račun pri Googlu, in zaradi Googlovega visokega odzivnega časa predstavlja pogost vektor za izvajanje napadov. Napadalci so jo uporabili, da so poiskali ranljive usmerjevalnike na internetu, nato pa jih nastavili tako, da so uporabljali lažne strežnike DNS.