بیش از یک‌صدهزار روتر در کنترل GhostDNS

کمیته رکن چهارم – شرکت چینی نت‌لب ۳۶۰ از اجرای کارزار گسترده‌ای خبر داده که مهاجمان آن با رخنه به روترها و تغییر تنظمیات بخش DNS اقدام به سرقت اطلاعات اصالت‌سنجی کاربران متصل به روتر به‌خصوص در هنگام مراجعه به سایت‌های بانکی می‌کنند.

این بدافزار جدید که GhostDNS نامگذاری شده نوعی بدافزار DNSChanger تلقی می‌شود.

بدافزارهای DNSChanger با تغییر نشانی سرور DNS در تنظیمات دستگاه، کاربران را در هنگام فراخوانی سایت‌هایی خاص به سمت سایت‌های جعلی که بر روی سرورهای تحت کنترل مهاجمان میزبانی شده‌اند هدایت می‌کنند. در نتیجه هر نوع اطلاعات وارد شده توسط کاربر در این سایت‌ها عملاً در اختیار مهاجمان قرار خواهد گرفت. ضمن اینکه در برخی موارد با توجه به اعتماد کاربر به سایت باز شده در مرورگر، قربانی در دام ترفندهای مهندسی اجتماعی مهاجمان افتاده و ناخواسته بدافزار – معمولا جاسوس‌افزار – را بر روی دستگاه خود اجرا می‌کند.

بر طبق گزارش نت‌لب ۳۶۰، مهاجمان به‌منظور آلوده نمودن روترها به GhostDNS، اقدام به پویش نشانی‌های IP قابل دسترس بر روی اینترنت و در ادامه شناسایی روترهای فاقد رمز عبور یا با رمز عبور ضعیف می‌کنند.

GhostDNS از چهار بخش DNSChanger،و Phishing Web،و Web Admin و Rogue DNS تشکیل شده است.

در بین آنها ماژول DNSChanger وظیفه جمع‌آوری اطلاعات و بهره‌جویی را بر عهده دارد.

ماژول Web Admin نیز بخشی از GhostDNS است که امکان اتصال مهاجمان به کنسول مدیریتی این بدافزار را فراهم می‌کند.

ماژول Rogue DNS تبدیل نشانی نام‌های دامنه هدف قرار گرفته شده را توسط سرورهای تحت کنترل مهاجمان به شرح زیر امکان‌پذیر می‌سازد:

  • ۱۳۹٫۶۰٫۱۶۲٫۱۸۸ “AS395839 HOSTKEY”
  • ۱۳۹٫۶۰٫۱۶۲٫۲۰۱ “AS395839 HOSTKEY”
  • ۱۴۴٫۲۲٫۱۰۴٫۱۸۵ “AS7160 Oracle Corporation”
  • ۱۷۳٫۸۲٫۱۶۸٫۱۰۴ “AS35916 MULTACOM CORPORATION”
  • ۱۸٫۲۲۳٫۲٫۹۸ “AS16509 Amazon.com, Inc.”
  • ۱۸۵٫۷۰٫۱۸۶٫۴ “AS57043 Hostkey B.v.”
  • ۱۹۲٫۹۹٫۱۸۷٫۱۹۳ “AS16276 OVH SAS”
  • ۱۹۸٫۲۷٫۱۲۱٫۲۴۱ “AS16276 OVH SAS”
  • ۲۰۰٫۱۹۶٫۲۴۰٫۱۰۴ “AS11419 Telefonica Data S.A.”
  • ۲۰۰٫۱۹۶٫۲۴۰٫۱۲۰ “AS11419 Telefonica Data S.A.”
  • ۳۵٫۱۸۵٫۹٫۱۶۴ “AS15169 Google LLC”
  • ۸۰٫۲۱۱٫۳۷٫۴۱ “AS31034 Aruba S.p.A.”

ماژول Phishing Web نیز وظیفه نمایش صفحات جعلی را که بر روی سرورهای زیر میزبانی می شوند بر عهده دارد:

  • ۱۹۳٫۷۰٫۹۵٫۸۹ “AS16276 OVH SAS”
  • ۱۹۸٫۲۷٫۱۲۱٫۲۴۱ “AS16276 OVH SAS”
  • ۳۵٫۲۳۷٫۱۲۷٫۱۶۷ “AS15169 Google LLC”

دامنه‌های مورد نظر مهاجمان عمدتا سایت‌های بانکی و سرویس‌های میزبانی ابری و همچنین دامنه‌ای متعلق به شرکت ضدویروس آویرا اعلام شده است.

روترهای هدف قرار گرفته شده توسط این مهاجمان به شرح زیر است:

  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300Mbps
  • Roteador WRN150
  • Roteador WRN342
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N Broadband Router
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG routers firmware
  • ZXHN H208N
  • Zyxel VMG3312

نت‌لب ۳۶۰ گزارش کرده که در فاصله بین ۳۰ شهریور تا پنجم مهر ماه، کارزار مذکور بیش از یک‌صدهزار روتر را که حدود ۸۸ درصد آنها در برزیل قرار دارند به تسخیر خود در آورده است.

مشروح گزارش نت‌لب ۳۶۰ در لینک زیر قابل مطالعه است:

منبع : شبکه گستر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.