Peste 300.000 de routere broadband din Europa, compromise într-un atac de tip pharming

Numărul din ce în ce mai mare de laptopuri, tablete, smartphone-uri, console sau playere multimedia de reţea au făcut ca router-ele broadband să devină echipamente de reţea banale pe care le găsim în aproape orice casă. Deoarece mulţi dintre utilizatori nu se pricep însă foarte bine la reţelistică şi le tratează ca pe nişte cutii care pot fi setate şi apoi uitate, acestea devin ţinte preferate pentru infractorii cibernetici, care profită de vulnerabilităţile de securitate nebăgate în seamă şi de supravegherea inexistentă.

În cursul anului trecut, au fost scoase la iveală vulnerabilităţi ale implementărilor UPnP  folosite de multe echipamente de reţea, inclusiv routere, iar în software-ul unor modele de routere D-Link a fost descoperit un backdoor. Anul acesta nu a început nici el mai grozav, în acest răstimp fiind semnalată o vulnerabilitate (între timp rezolvată) în router-ele Linksys sau protejarea defectuoasă a unităţilor de stocare ataşate la anumite modele de routere ASUS cu serviciul AI Cloud activat. La acestea se adaugă acum  un atac de amploare care a vizat un număr mare de routere, acesta fiind relevant pentru noi deoarece a afectat zona europeană şi modelele unor producători populari şi pe piaţa locală.

Conform companiei de securitate Team Cymru, atacul este unul de amploare şi afectează  peste 300.000 de routere produse de companii precum TP-Link, D-Link, Tenda, Micronet şi alţii. Analiza întocmită de companie afirmă că atacatorii au speculat diverse breşe de securitate cunoscute sau necunoscute din software-ul acestora, obţinând acces neautorizat şi operând modificări ale serverelor DNS pentru un atac de tip Pharming.

În acest moment, această modificare a servelor DNS nu pare să fi fost folosită încă pentru nici un fel de atac, dar controlul acestora le permite infractorilor să iniţieze atacuri de phising în scopul furtului de date bancare sau descărcării de software infectat. Compania afirmă că adresele IP ale serverelor DNS setate de către atacatori au legătură cu cele folosite recent în cadrul unui atac similar care a avut loc pe teritoriul Poloniei şi care a urmărit să fure datele personale ale clienţilor mai multor bănci din această ţară.

Cei care doresc să verifice integritatea router-ului propriu trebuie să folosească interfaţa Web de administrare sau eventuala aplicaţie care oferă acelaşi serviciu. Serverele DNS folosite de infractori sunt 5.45.75.11 şi 5.45.76.36, prezenţa acestora în setările interfeţei de reţea Internet/WAN indicând compromiterea securităţii router-ului.

Atacul datează, conform estimărilor Team Cymru, din luna decembrie a anului trecut şi vizează zona Europei Centrale şi de Est, dar şi alte ţări precum India.