يمكن لبرامج GhostDNS الضارة على أجهزة التوجيه سرقة بيانات الخدمات المصرفية الخاصة بالمستخدم
لقد اكتشف الخبراء أن GhostDNS ، وهو نظام اختطاف DNS متطور لسرقة البيانات ، يؤثر على أكثر من 100،000 جهاز توجيه - 87 بالمائة منها في البرازيل. ووفقًا لشركة Netlab ، وهي شركة متخصصة في أمن المعلومات ، تم العثور على برامج ضارة في 70 طرازًا آخر ، بما في ذلك العلامات التجارية مثل TP-Link و D-Link و Intelbras و Multilaser و Huawei وغيرها.
باستخدام أسلوب التصيّد الاحتيالي ، الهدف النهائي للهجوم هو اكتشاف أوراق اعتماد المواقع المهمة ، مثل البنوك ومقدمي الخدمات الكبيرة. Netlab في سجلات 360 ، التي اكتشفت عملية الخداع ، عناوين URL البرازيلية لـ Netflix ، Santander و Citibank كانت بعضًا من غزوات GhostDNS. بعد ذلك ، تعلم كل شيء عن البرامج الضارة وتعرف على كيفية حماية نفسك.
قراءة: الإضراب في جهاز التوجيه يصل بالفعل إلى آلاف المنازل في البرازيل ؛ تجنب
تصيب البرامج الضارة GhostDNS أكثر من 100000 موجه ويمكنها سرقة البيانات المصرفية
تريد شراء الهاتف الخليوي والتلفزيون وغيرها من المنتجات الخصم؟ تعرف على المقارنة
ما هو الهجوم؟
تعمل البرامج الضارة التي تم الإبلاغ عنها بواسطة Netlab على 360 على هجوم يُعرف باسم DNSchange. بشكل عام ، يحاول هذا الخداع تخمين كلمة مرور جهاز التوجيه على صفحة تكوين الويب باستخدام المعرفات التي تم تعيينها بشكل افتراضي من قبل الشركات المصنعة مثل admin / admin ، الجذر / الجذر ، إلخ. طريقة أخرى هي تخطي المصادقة عن طريق مسح dnscfg.cgi. مع الوصول إلى إعدادات جهاز التوجيه ، تقوم البرامج الضارة بتغيير عنوان DNS الافتراضي - الذي يترجم عناوين URL من المواقع المرغوبة ، مثل البنوك - إلى عناوين IP الخبيثة للموقع.
GhostDNS هو نسخة محسنة من هذا التكتيك. لديها ثلاثة إصدارات من DNSChanger ، وتسمى في shell نفسها DNSChanger ، DNSChanger ، و PyPhp DNSChanger. يمثل PyPhp DNSChanger الوحدة الرئيسية بين الثلاثة ، بعد نشرها على أكثر من 100 خادم ، معظمها من Google Cloud. معا ، فإنها تجمع أكثر من 100 مخطوطات هجومية ، موجهة لأجهزة التوجيه على شبكة الإنترنت وشبكات الإنترانت.
كما لو أن ذلك لم يكن كافيا ، لا تزال هناك ثلاث وحدات هيكلية أخرى في GhostDNS ، بالإضافة إلى DNSChanger. الأول هو خادم Rouge DNS ، الذي يستولي على مجالات البنوك ، والخدمات السحابية ، ومواقع أخرى ذات أوراق اعتماد مثيرة للاهتمام للمجرمين. والثاني هو نظام تصيد المعلومات على شبكة الإنترنت ، والذي يأخذ عناوين IP من النطاقات المسروقة ويتفاعل مع الضحايا من خلال مواقع مزيفة. وأخيرا ، هناك نظام إدارة الويب ، الذي لا يزال الخبراء يملكون معلومات قليلة عن العملية.
مخطط الانسياب هجوم GhostDNS إلى الموجهات
مخاطر الهجوم
يتمثل الخطر الكبير للهجوم في أنه مع اختطاف نظام أسماء النطاقات ، حتى إذا أدخلت عنوان URL الصحيح للمصرف الذي تتعامل معه في المتصفح ، يمكن أن يعيد التوجيه إلى عنوان IP لموقع ضار. لذلك حتى عندما يعرّف المستخدم التغييرات على واجهة الصفحة ، فإنه يعتقد أنه في بيئة آمنة. وهذا يزيد من فرص الكتابة في كلمات مرور البنك ، والبريد الإلكتروني ، وخدمات التخزين السحابي ، وبيانات الاعتماد الأخرى التي يمكن استخدامها من قبل المجرمين الإلكترونيين.
ما هي أجهزة التوجيه التي تأثرت؟
في الفترة من 21 إلى 27 سبتمبر ، وجد Netlab في 360 أكثر من 100000 عنوان IP للموجهات المصابة. من هؤلاء ، 87.8 ٪ - أو ما يقرب من 87800 - في البرازيل. ومع ذلك ، فبسبب اختلافات العنوان ، قد يكون الرقم الفعلي مختلفًا بعض الشيء.
عداد الموجه GhostDNS
تم إصابة أجهزة التوجيه المتأثرة بوحدات DNSChanger مختلفة. في DNSChanger Shell ، تم تحديد الطرازات التالية:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- هواوي SmartAX MT880a
- Intelbras WRN240-1
- كايومي راوتر
- MikroTiK الموجهات
- OIWTECH OIW-2415CPE
- رالينك الموجهات
- SpeedStream
- SpeedTouch
- خيمة
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- تريز TZ5500E / فيكينج
- VIKING / DSLINK 200 U / E
بالفعل كانت أجهزة التوجيه المتأثرة بـ DNSChanger Js:
- A-Link WL54AP3 / WL54AP2
- دي لينك DIR-905L
- جهاز التوجيه GWR-120
- Secutech RiS Firmware
- SmartGate
- TP-Link TL-WR841N / TL-WR841ND
وأخيرًا ، الأجهزة المتأثرة بالوحدة الرئيسية PyPhp DNSChanger هي:
- AirRouter AirOS
- الهوائي PQWS2401
- C3-TECH Router
- سيسكو راوتر
- دي لينك DIR-600
- دي لينك DIR-610
- دي لينك DIR-615
- دي لينك DIR-905L
- دي لينك ShareCenter
- Elsys CPE-2n
- Fiberhome
- Fiberhome AN5506-02-B
- Fiberlink 101
- GPON ONU
- Greatek
- GWR 120
- هواوي
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- LINKONE
- مايكروتك
- Multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- جهاز التوجيه PNRT150M
- جهاز Wireless N 300Mbps Router
- WRN150 راوتر
- WRN342 جهاز التوجيه
- Sapido RB-1830
- TECHNIC LAN WAR-54GS
- تندا Wireless-N برودباند راوتر
- طومسون
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- الموجهات الثابتة Wive-NG
- ZXHN H208N
- Zyxel VMG3312
كيف تحمي نفسك
الخطوة الأولى هي تغيير كلمة مرور الموجّه ، خاصةً إذا كنت تستخدم الرمز الافتراضي أو تستخدم كلمة مرور ضعيفة. كما يوصى بتحديث البرنامج الثابت لجهاز التوجيه والتحقق من الإعدادات إذا تغير DNS.
كيفية تعيين كلمة مرور جهاز توجيه Wi-Fi
ماذا يقول المصنعين
اتصلت الشركة بشركة Intelbras ، التي ليست على علم بأية مشاكل مع أجهزة التوجيه الخاصة بها: "نبلغكم بأنه ليس لدينا حتى الآن أي حالة إصابة مسجلة لمستخدمينا من خلال 14 قناة خدمة تتوافق مع ضعف أجهزة توجيه Intelbras." فيما يتعلق بالأمن ، تقوم الشركة بتوجيه المستهلكين لمواكبة التحديث الروتيني للمعدات: "يتوفر التحكم في البرامج الثابتة المحدثة وتوافرها على موقعنا الإلكتروني (www.intelbras.com.br/downloads)".
كما يزعم Multilaser أنه لا توجد مشاكل تم الإبلاغ عنها حتى الآن. "لم يكن هناك اتصال بالعملاء من خلال قنوات الخدمة التي يمكن توصيلها بالحدث. تنصح شركة Multilaser المستهلكين بالاتصال بالدعم للحصول على مزيد من المعلومات حول التحديثات وتكوينات أجهزة العلامة التجارية."
تقارير D-Link التي تم بالفعل الإبلاغ عن الثغرة الأمنية. وفقا للبيان المرسلة إلى ، قدمت الشركة الحل لمستخدمي أجهزة التوجيه الخاصة به. "يكرر دي لينك أهمية تحديث البرامج الثابتة لأجهزة التوجيه من قبل المستخدمين ، مما يزيد من أمن المعدات والاتصال" ، يضيف.
يدعي TP-Link أنه مدرك للمشكلة ويوصي بأن يحافظ المستخدمون على تحديث البرامج الثابتة وتغيير كلمة المرور الخاصة بأجهزتهم. تدرك TP-Link البحث المتعلق بضعف أجهزة التوجيه الخاصة بها كطريقة لمنع هذه البرامج الضارة المحتملة ، توصي TP-Link باتباع الخطوات التالية:
- قم بتغيير كلمة المرور الافتراضية إلى كلمة مرور أكثر تعقيدًا لمنع المتطفلين من الوصول إلى إعدادات جهاز التوجيه ؛
- تأكد من أن جهاز التوجيه يستخدم أحدث إصدار للبرنامج الثابت. إذا لم يكن كذلك ، قم بالترقية لمنع استغلال الثغرات القديمة. "
لم تعلق شركة Huawei حتى يتم نشر هذه القضية.
عبر Netlab في 360
ما هي أفضل قناة راوتر واي فاي؟ اكتشف في المنتدى.
