Эксперт по кибербезопасности Трой Мурш (Troy Mursch) из компании Bad Packets предупредил уже о третьей волне атак на домашние роутеры производства D-Link, а также ARG, DSLink, Secutech и TOTOLINK. Хакеры взламывают устройства через известные уязвимости в прошивках, подменяют настройки DNS и перенаправляют трафик пользователей на вредоносные сайты.
Сообщается, что злоумышленники атакуют пользователей популярных онлайн-сервисов Gmail, Netflix и PayPal. В ходе своей операции атакующие используют технику, известную как «перехват DNS» (DNS hijacking). Для этого вначале преступники компрометируют роутеры пользователей, а затем модифицируют настройки DNS таким образом, чтобы жертвы перенаправлялись на фейковые веб-сайты, почти идентичные настоящим сервисам.
Таким образом, у пользователей выманивают учетные данные для входа в онлайн-сервисы. В общей сумме в Bad Packets насчитали четыре мошеннических DNS-сервера, которые атакующие использовали для перехвата трафика пользователей.
Первая волна атак была обнаружена еще в декабре 2018 года. Тогда атакующие сосредоточили свои усилия на роутерах D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B и D-Link DSL-526B, и подменяли настройки DNS на 66.70.173.48, хостившийся у OVH Canada.
Вторую волну атак зафиксировали в начале февраля 2019 года. Хакеры вновь атаковали те же модели роутеров D-Link, но настройки DNS заменяли уже на 144.217.191.145, тоже размещавшийся у OVH Canada.
Третья волна атак началась 26 марта 2019 года, исходит с трех хостов Google Cloud Platform и продолжается до сих пор. На этот раз злоумышленники атаковали не только устройства D-Link, но и роутеры ARG-W4 ADSL, DSLink 260E, Secutech и TOTOLINK. DNS теперь подменяют на российские адреса 195.128.126.165 и 195.128.124.13.
Уязвимых роутеров до сих пор в сумме около 17 тысяч (подсчитали эксперты с помощью поисковика BinaryEdge).
