رخنه به روتر، مقدمه‌ای بر آلوده‌سازی دستگاه‌های متصل به آن

کمیته رکن چهارم – گروهی از مهاجمان با بکارگیری روش موسوم به DNS Hijacking، پس از رخنه به تجهیزات روتر بی‌سیم، ضمن جایگزین نمودن نشانی DNS آنها با نشانی سرورهای تحت کنترل خود، کامپیوترها و دستگاه‌های همراه مبتنی بر هر یک از سیستم‌های عامل Android و iOS را آلوده به بدافزار می‌کنند.

در حالی که در جریان حمله این گروه، تا چند هفته قبل، تنها دستگاه‌های مبتنی بر Android در محدوده جنوب شرق آسیا به نوعی بدافزاری بانکی آلوده می‌شدند، در هفته‌های اخیر، این گروه دامنه قربانیان خود را گسترده‌تر کرده و علاوه بر افزودن سیستم‌های عامل دیگر، با پشتیبانی از ۲۷ زبان، کاربران در خاورمیانه و اروپا را نیز هدف قرار داده است.

این مهاجمان با تغییر نشانی DNS درج شده در تنظیمات روترهای بی‌سیم آسیب‌پذیر، سبب می‌شوند که کاربران متصل به این دستگاه‌ها در زمان فراخوانی سایت‌های معتبر به سایت‌های جعلی تحت کنترل نفوذگران هدایت شده و در آنجا یکی از عملیات مخرب زیر اجرا شود:

  • برنامک‌های جعلی حاوی بدافزار بانکی بر روی دستگاه تحت Android دریافت و اجرا می‌شود.
  • یک سایت فیشینگ در مرورگر دستگاه با سیستم عامل iOS ظاهر می‌شود.
  • اسکریپت استخراج‌کننده ارزرمز در صفحه اینترنتی باز شده در مرورگر کاربر با سیستم عامل Windows اجرا می‌شود.

برای مثال، در زمانی که کاربر با دستگاه تحت Android به سایت مخرب هدایت می‌شود پیامی ظاهر شده و از او خواسته می‌شود که مرورگر خود را به‌روز کند. انجام این کار، منجر به دریافت و اجرا شدن یک برنامک مخرب با نام‌های فریبنده‌ای همچون chrome.apk و facebook.apk می‌شود.

با هدف جلوگیری از شناسایی شدن برنامک مخرب توسط ضدویروس نصب شده بر روی دستگاه، فایل apk در هر دریافت دارای امضایی منحصربه‌فرد است.

به‌محض نصب شدن برنامک مخرب، مهاجمان کنترل کامل دستگاه آلوده شده را طریق چندین درب‌پشتی (Backdoor) در اختیار می‌گیرند.

در دستگاه‌های با سیستم عامل iOS نیز کاربر به سایتی فیشینگ با یک نشانی فریبنده و ظاهری مشابه با سایت شرکت اپل هدایت شده و در آن از او خواسته می‌شود تا اطلاعات حساب بانکی خود را در صفحه‌ای جعلی وارد کند.

علاوه بر سرقت اطلاعات حساس از روی دستگاه‌های Android و iOS، در مرورگر کاربران دستگاه‌های با سیستم عامل Windows نیز اسکریپ استخراج‌کننده ارز رمز CoinHive به اجرا در می‌آید.

نشانی‌های مخرب استفاده شده توسط این مهاجمان به شرح زیر می‌باشد:

  • ۴۳٫۲۴۰٫۱۴[.]۴۴
  • ۱۱۸٫۱۶۸٫۲۰۱[.]۷۰
  • ۱۱۸٫۱۶۸٫۲۰۲[.]۱۲۵
  • ۱۲۸٫۱۴٫۵۰[.]۱۴۷
  • ۱۷۲٫۲۴۷٫۱۱۶[.]۱۵۵
  • ۲۲۰٫۱۳۶٫۷۳[.]۱۰۷
  • ۲۲۰٫۱۳۶٫۷۶[.]۲۰۰
  • ۲۲۰٫۱۳۶٫۷۸[.]۴۰
  • ۲۲۰٫۱۳۶٫۱۱۱[.]۶۶
  • ۲۲۰٫۱۳۶٫۱۷۹[.]۵
  • ۲۲۰٫۱۳۶٫۱۸۲[.]۷۲
  • shaoye11.hopto[.]org
  • haoxingfu01.ddns[.]net

برای حفاظت در برابر این حمله ارتقای ثابت‌افزار روتر به آخرین نسخه آن و بکارگیری رمز عبور پیچیده توصیه می‌شود.

حمله مذکور توسط شرکت‌های مک‌آفی، ترند مایکرو و کسپرسکی پوشش داده شده که مشروح گزارش آنها در لینک‌های زیر قابل دریافت و مطالعه می‌باشد:

منبع : شبکه گستر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.