Спамеры используют дефолтные пароли для взлома маршрутизаторов

Спамеры используют дефолтные пароли для взлома маршрутизаторов


Вам нужна еще одна причина для смены дефолтного пароля и никнейма на своем проводном или беспроводном интернет маршрутизаторе? Пожалуйста. Фишеры рассылают определенные ссылки, и после клика на них настройки Вашего маршрутизатора изменяются, чтобы злоумышленники могли получить учетные данные дистанционного банковского обслуживания и другую важную информацию жертвы.
Охранная компания Proofpoint, расположенная в Sunnyvale, штат California, сообщает о выявлении 4-недельной спам-кампании. Спам рассылался в небольшое число компаний, преимущественно бразильских.  Электронные письма по виду были очень похожи на оригинальные письма бразильских интернет-провайдеров. В них пользователей информировали о неких неоплаченных счетах. В действительности в письмах содержалась ссылка, направленная на взлом маршрутизатора.
Согласно Proofpoint, ссылка отправляла пользователя на страницу, которая, в свою очередь, напоминала страницу провайдера. В странице был спрятан код, который в тайне от пользователя совершал действия, известные как “межсайтовая подделка запроса” (вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP).  Атака была направлена на два типа маршрутизаторов: UT Starcom и TP-Link. Вредоносная страница запускала так называемые iframes (HTML документ, встроенный в другой HTML документ), которые пытались войти на страницу администратора того или иного маршрутизатора, используя список известных дефолтных учетных данных, встроенных в эти устройства.
В случае успеха  настройки системы доменных имен (DNS) изменялись, DNS-сервер хакера становился основным, а GooglePublicDNS(8.8.8.8) – второстепенным. Все это позволяет хакерам похищать любой трафик пользователя, перенаправив его с нормальной страницы на похожие для перекачки учетных данных жертвы. Если DNSсервер хакера не отвечал, то маршрутизатор продолжал работать корректно.
Реальная опасность заключается в том, что антивирус не может распознать эти атаки, и, скорее всего, пройдет много времени, пока пользователь обнаружит что-то неладное.
«Эти атаки не оставляют никаких следов, за исключением отправки е-мейлов», - сказал Kevin Epstein, вице-президент отдела безопасности и управления Proofprint. «И даже если среднестатистический пользователь будет проверять настройки DNS своего маршрутизатора, то он вряд ли заметит, что что-то не так».
Во многих современных маршрутизаторах есть встроенные защитные средства против таких атак, но постоянно вскрываются все новые и новые уязвимые места даже новейших маршрутизаторов. Я поинтересовался у Proofpoint, смогли бы эти защитные меры противостоять выше описанной атаке. Ответ был отрицательный.
«Конечно, маршрутизаторы, подвергшиеся атаке в бразильских компаниях, не являются лучшими примерами своего класса. В том числе и поэтому оказались уязвимыми», - написал ведущий аналитик Proofpointв ответ на вопрос.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.