برزیل، میزبان اصلی نوع جدید حملات روتری

کمیته رکن چهارم – بر اساس گزارش شرکت اواست، تنظیمات DNS بیش از ۱۸۰ هزار روتر در برزیل، در ۳ ماهه اول سال ۲۰۱۹ تغییر کرده‌اند.

 برای حدود یک سال، کاربران برزیلی هدف نوع جدیدی از حمله روتری (router attack) بودند که در هیچ جای دیگر دنیا مشاهده نشده بود. این تهاجم‌ها، تقریباً از دید کاربران نهایی نامرئی هستند و توانایی ایجاد خسارات مالی به قربانیان و به وجود آورند عواقب فاجعه‌بار دارند.

اتفاقات اخیر روی روترها در برزیل باید علامت هشداری برای کاربران و تأمین کنندگان خدمات اینترنت (ISP) در سراسر جهان باشد. به عبارتی دیگر باید قبل از این که حمله‌ی یاد شده در دیگر نقاط گسترش پیدا کند، دستگاه‌های مورد استفاده ایمن گردند.

حملات تغییر DNS به روتر

حملات روی روترها در برزیل از تابستان ۲۰۱۸ آغاز و برای اولین بار به‌وسیله شرکت امنیت سایبری «Radware» و یک ماه بعد به‌وسیله محققان امنیتی «Netlab»، واحد شکار تهدید شبکه‌ای «Qihoo 360» (غول امنیت سایبری چینی) مشاهده شد.

در آن زمان، هر ۲ شرکت نحوه نفوذ گروهی از مجرمان سایبری روی بیش از ۱۰۰ هزار روتر خانگی در برزیل و تغییر تنظیمات DNS آنها را توضیح دادند.

تغییرات انجام شده روی روترها، کاربران آلوده را هنگام درخواست به منظور دسترسی به سایت‌های بانکداری الکترونیک برای برخی بانک‌های برزیل به وب‌سایت‌های مخرب هدایت می‌کرد.

چند ماه بعد، در آوریل ۲۰۱۹ حملاتی مشابه به‌وسیله شرکت مخابرات تهدید «Bad Packets» مشاهده شد. این بار، هدف اصلی، روترهای «D-Link» به میزبانی تأمین کنندگان خدمات اینترنتی برزیلی بودند.

به گفته محققان «Ixia»، این بار علاوه بر سرقت اطلاعات کاربران بازدیدکننده از بانک‌های برزیل، هکرها کاربران را به صفحات فیشینگ نت‌فلیکس (Netflix)، گوگل و پی‌پال برای جمع‌آوری اعتبارنامه‌هایشان هدایت می‌کردند. اما براساس گزارش منتشر شده از سوی «Avast»، این حملات

هنوز متوقف نشده‌اند؛ درحقیقت، شرکت اعلام کرد که در نیمه اول سال ۲۰۱۹ هکرها تنظیمات DNS بیش از ۱۸۰ هزار روتر برزیلی را آلوده کردند و آنها را تغییر داده‌اند. علاوه بر افزایش پیچیدگی حملات، تعداد عوامل دخیل در حملات نیز به نظر افزایش یافته‌اند.

نحوه هک روتر

دیوید یورسا (David Jursa) و الکسیچ ساچین (Alexej Savčin)، محققان شرکت Avast اظهار داشتند که روترهای خانگی اکثر کاربران برزیلی هنگام بازدید از سایت‌های ورزشی و فیلم یا پورتال‌های بزرگسالان هک شده‌اند. در این سایت‌ها، تبلیغات مخرب (malvertising) کد خاصی را در مرورگرهای کاربران برای جستجو و شناسایی آدرس IP روتر خانگی – مدل روتر – اجرا می‌کنند. با شناسایی مدل و آی‌پی روتر، تبلیغات مخرب از اسامی کاربری و رمزهای عبور پیش‌فرض برای ورود به دستگاه‌های کاربران – بدون اطلاعشان – استفاده می‌کنند.

حملات، مدتی طول کشیدند؛ اما اکثر کاربران به آنها توجهی نداشتند زیرا معمولاً مشغول دیدن ویدئوها در وب‌سایت‌هایی بودند که به آنها دسترسی داشتند.

اگر حملات موفقیت‌آمیز باشند، کد مخرب اضافی تقویت شده از طریق تبلیغات مخرب تنظیمات پیش‌فرض DNS در روترهای قربانیان را تغییر خواهد داد و روترهای آدرس آی‌پی سرور دی‌ان‌اس دریافت شده از تأمین کنندگان خدمات اینترنتی را با آدرس‌های آی‌پی سرورهای دی‌ان‌اس مدیریت شده به‌وسیله هکرها جایگزین می‌کند.

در اتصال بعدی تلفن هوشمند یا رایانه کاربران به اینترنت، آدرس‌های آی‌پی سرور دی‌ان‌اس مخرب دریافت خواهد شد و به این ترتیب تمام درخواست‌های دی‌ان‌اس را از طریق سرورهای هکر اجرا خواهد کرد و به مهاجمان اجازه سرقت و هدایت مجدد ترافیک به کلون‌های مخرب را می‌دهد.
«GHOSTDNS»، «NAVIDADE» و «SONARDNS»

طبق تحقیقات Avast، هکرها از دو کیت ویژه برای این حملات استفاده کرده‌اند. اولین مورد «GhostDNS» نام دارد که اولین بار تابستان گذشته مشاهده شده و بات‌نتی است که سال قبل به‌وسیله شرکت‌های Radware و Netlab توصیف شد. یک نمونه GhostDNS به نام «Navidade»، در ماه فوریه ۲۰۱۹ کشف شد.

به گفته آواست، Novidade تلاش کرد که روترهای کاربران شرکت را بیش از ۲٫۶ میلیون بار در ماه فوریه امسال آلوده کند و از طریق ۳ کمپین گسترش یافت. علاوه بر این، از اواسط ماه آوریل یک عامل دیگر وارد بازار شد. این بات‌نت جدید «SonarDNS» نام دارد زیرا مهاجم به نظر یک چارچوب تست نفوذ به نام «Sonar.js»، به عنوان ستون فقرات زیرساخت دارد.

ماژول Sonar.js، برای حملات روتری عالی است. کتابخانه جاوا اسکریپت به‌طور معمول به‌وسیله آزمایش‌کنندگان نفوذ برای شناسایی و راه‌اندازی سوءاستفاده‌ها علیه میزبان‌های شبکه داخلی استفاده می‌شود و برای تعیین یک نوع روتر و اجرای بهره‌برداری روی دستگاه هدف تنها با چند خط کد ایده‌آل است.

شرکت آواست ادعا می‌کند که SonarDNS را در ۳ کمپین مختلف طی ۳ ماه گذشته مشاهده کرده است و به نظر می‌رسد شیوه عملکرد آن تقلیدی از عملکرد GhostDNS باشد.

جایگزینی تبلیغ و سرقت ارز

هنوز با حملات سرقت DNS با هدف روترها در برزیل مقابله نشده است و این تهاجمات هنوز در حال تکامل هستند. علاوه بر ربودن ترافیک و هدایت کاربران به صفحات فیشینگ، گروه‌های هکر مجری این حملات نیز ترفندهای بیشتری را یاد گرفته‌اند. اولین ترفند، جداسازی ترافیک کاربر و جایگزین کردن تبلیغات قانونی با تبلیغاتی است که برای مهاجمان سودآور باشد.

این روش جدید نیست. در سال ۲۰۱۶، محققان «Proofpoint» کیتی به نام «DNSChanger EK» کشف کردند که همین کار جایگزینی تبلیغات قانونی با موارد مخرب را انجام می‌داد و بیشتر الگویی برای اپراتورهای بات‌نت است که اکنون برزیل را هدف قرار داده‌‎اند.

دوم اینکه، اپراتورهای GhostDNS، Navidade و SonarDNS همچنین اسکریپت‌های سرقت ارز دیجیتالی مبتنی بر مرورگر را گسترش دادند. این آخرین تاکتیک در سال گذشته در برزیل دیده شده است؛ زمانی که هکرها بیش از ۲۰۰ هزار روتر «Mikrotik» را دزدیدند و دریافت کنندگان ارزهای دیجیتال را به ترافیک وب کاربران اضافه کردند.

خطر شیوع به کشورهای دیگر

با وجود همه موارد بالا، حملات تغییر DNS برای کاربران نهایی، خطرناک‌ترین نوع تهاجم محسوب می‌شوند، زیرا اپراتورهای بات‌نت علاوه بر ربودن اعتبارنامه‌های کاربران، پروفایل‌های آنلاین یا پول‌های حساب‌های بانکی آنها را به سرقت می‌برند.

در حالیکه تشخیص حملات بسیار سخت است، عدم شیوع آنها به کشورهای دیگر هنوز در هاله‌‎ای از ابهام قرار دارد.

هک روترها ارزان و سریع است؛ با این حال، امروزه اکثر بات‌نت‌های اینترنت اشیا از این دستگاه‌ها برای اجرای حملات انکار سرویس توزیع شده (DDoS) یا به عنوان پروکسی‌ها برای حملات کورکورانه و با ترافیک بد استفاده می‌کنند. استفاده از روترها برای فیشینگ راهی سودآور خواهد بود.

منبع : سایبربان