Πως έγιναν hacked εκατομμύρια DSL modems στην Βραζιλία

Νομίζετε ότι έχετε κάνει πολύ καλή δουλειά όσον αφορά την ασφάλεια του υπολογιστή σας; Είστε συνεπείς με το να κάνετε τις ενημερώσεις άμεσα; Έχετε εξασφαλίσει ότι ο υπολογιστής σας έχει ένα αξιόπιστο anti-virus;

Τώρα, ας δούμε λίγο τι γίνεται με το  router σας.

Ένας τυπικός χρήστης υπολογιστή δεν σκέφτεται ότι το router του θα μπορούσε να αποτελέσει μια απειλή για την ασφάλεια του.

Αλλά και σεις αυτό νομίζετε τότε θα πρέπει να γνωρίζεται ότι είστε εντελώς λάθος.

Ο Fabio Assolini, ένας ερευνητής για την Kaspersky Labs, έδωσε μια συναρπαστική παρουσίαση στο συνέδριο του Virus Bulletin στο Ντάλας την περασμένη εβδομάδα, που περιγράφει πώς περισσότερα από 4,5 εκατομμύρια DSL routers στη Βραζιλία βρέθηκαν να είναι hacked από εγκληματίες του κυβερνοχώρου πέρυσι.

Ο τίτλος της παρουσίασης του Assolini ήταν “Το παραμύθι των 1001 ADSL modems: οι συσκευές δικτύου στο στόχαστρο των εγκληματιών του κυβερνοχώρου” και περιγράφει πως σε ορισμένους ISPs, της Βραζιλίας περισσότεροι από το 50% των χρηστών έχουν αναφέρει ότι έχουν επηρεαστεί από μία τέτοια επίθεση.

 

Είσαι στην ιστοσελίδα της Google, αλλά δεν είσαι στην ιστοσελίδα της Google

Το πρώτο πράγμα που παρατηρούν οι χρήστες που προσπαθούν να συνδεθούν σε νόμιμες ιστοσελίδες όπως το Google, το Facebook και το Orkut (ένα κοινωνικό δίκτυο της Google το οποίο είναι ιδιαίτερα δημοφιλές στη Βραζιλία) είναι ότι τους ζητείται να εγκαταστήσουν κάποιολογισμικό.

Στο παρακάτω παράδειγμα, οι επισκέπτες της Google.com.br κλήθηκαν να εγκαταστήσουν ένα πρόγραμμα που ονομάζεται ”Google Defence” για να τους επιτραπεί να έχουν πρόσβαση στο “νέο Google”.

 

Σημείωση – η google.com.br είναι η σωστή διεύθυνση για την βραζιλιάνικη έκδοση του Google, και ο δικτυακός τόπος της Google δεν είχεπαραβιαστεί ή έγινε hacked για να διαθέσει τη ήψη του κακόβουλου λογισμικού.

Και όμως, το  ”Google Defence” δεν είχε καμία απολύτως σχέση με την Google.

Πώς έγινε αυτό;

Hacked routers χρησιμοποιούν κακόβουλους διακομιστές DNS.

Η απάντηση είναι ότι το ADSL modem του χρήστη είχε υποστεί επίθεση, και οι hackers είχαν αλλάξει τις ρυθμίσεις του router οδηγώντας το σε κακόβουλους DNS (Domain Name Server). Αυτό σημαίνει ότι ακόμα κι αν ο χρήστης πληκτρολογήσει την ηλεκτρονική διεύθυνση μιας ασφαλής ιστοσελίδας  (όπως το google.com.br ή facebook.com) θα μπορούσε να οδηγηθεί σε μια επικίνδυνη ιστοσελίδα, κάνοντας τον να πιστεύει ότι όλα πάνε καλά.

Οι εγκληματίες του κυβερνοχώρου είχαν καταφέρει να έχουν πρόσβαση σε ευάλωτα μόντεμ εξ αποστάσεως μέσω του net.

Μπορείτε να έχετε κανονικά πρόσβαση σε ένα router μέσω του διαδικτύου.  Θα σας ζητηθεί ένα όνομα χρήστη και ένας κωδικός πρόσβασης – αν έχετε επιλέξει κάποιον δύσκολο ς το έχετε κάνει δυσκολότερο για τους επίδοξους επιτιθέμενους (η τουλάχιστον αυτό πιστεύαμε μέχρι τώρα) , αλλά αν έχετε αφήσει τις προεπιλογές του κατασκευαστή υπάρχει πρόβλημα.

Οι hackers κατάφεραν να εκμεταλλευτούν μια ευπάθεια στο Broadcom τσιπ που συμπεριλαμβάνεται σε ορισμένους δρομολογητές. Ο Assolini εξήγησε ότι “το ελάττωμα  Cross Site Request Forgery (CSRF) (Πλαστογραφία Αίτησης ιστοσελίδας ) επιτρέπει στον εισβολέα να τρέξει ένα exploit το οποίο καταγράφει τον κωδικό και έτσι αποκτά πρόσβαση στο router του θύματος. Οι αλλαγές που κάνει ο επιτιθέμενος, συνήθως είναι στους DNS servers.”

 

 

Με λίγα λόγια, η υπήρχε η δυνατότητα εκμετάλλευσης από κακόβουλους χάκερ να “σπάσουν” εκατομμύρια δρομολογητές εξ αποστάσεως, χωρίς να χρειάζεται να γνωρίζουν τους κωδικούς πρόσβασης που χρησιμοποιούνται για την προστασία τους.

Το τελικό αποτέλεσμα είναι ότι πολλοί χρήστες από την Βραζιλία κατέβασαν λογισμικό ή κώδικα, πιστεύοντας εσφαλμένα ότι ήταν από τις ιστοσελίδες που εμπιστεύονται, όπως οι εξής:

  • br.msn.com / ChromeSetup.exe
  • facebook.com.br / ChromeSetup.exe
  • facebook.com / ChromeSetup.exe
  • facebook.com.br / Activex_Components.exe
  • και πολλές άλλες ..

Κατά ειρωνικό τρόπο, όταν οι χρήστες έψαχναν βοήθεια από τεχνικούς σε κάποια γραμμή υποστήριξης anti-virus, όταν τους ανάφεραν για κάποιο αρχείο, facebook.com/ChromeSetup.exe, οι τεχνικοί δεν θα ήταν σε θέση να γνωρίζουν, επειδή οι υπολογιστές τους δεν έτρεχαν με κακόβουλους διακομιστές DNS.

Οι χρήστες ήταν ανένδοτοι ότι δεν είχαν κάνει τίποτα λάθος – ορισμένοι ανάφεραν ότι οι υπολογιστές τους ήταν πλήρως ενημερωμένοι από λειτουργικό έως anti-virus. Αλλά, φυσικά, αυτό δεν εμπόδισε την απομακρυσμένη επίθεση στο router τους.

Το κίνητρο για την επίθεση, η οποία επηρέασε εκατομμύρια χρήστες της Βραζιλίας, ήταν – φυσικά – τα χρήματα. Με malware εγκατεστημένα στους υπολογιστές των θυμάτων οι hackers μπορούσαν να κλέψουν από αρχεία έως και πληροφορίες από την πληκτρολόγηση του θύματος (με κάποιο keyloger) και έτσι μπορούσαν να έχουν κωδικούς πρόσβασης σε τράπεζες, αλλά και άλλες ευαίσθητες πληροφορίες.

Είναι ενδιαφέρον, στην παρουσίασή του, ο Assolini παρουσίασε συνομιλίες από ένα IRC chat μεταξύ ορισμένων από τους hackers που εμπλέκονται στην απάτη με τα  DNS. Ένας από αυτούς περιέγραψε πώς ένας άλλος χάκερ είχε κερδίσει περισσότερα από 100.000 ρεάλ (περίπου $ 50.000) και ξόδεψε τα χρήματα σε ταξίδια στο Ρίο ντε Τζανέιρο παρέα με πολλές ιερόδουλες.

Πηγή

Advertisements

Σχολιάστε

Συνδεθείτε για να δημοσιεύσετε το σχόλιο σας:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s