Podstata útoku je vlastně velmi jednoduchá a není vůbec nová, jde o tzv. DNS hijacking: útočníci prostě přenastaví adresu primárního DNS serveru v routeru na jinou. To jim umožňuje přesměrovávat uživatele na předem připravené webové stránky, které mohou obsahovat viry a další nebezpečí.
O podobných útocích v sousedním Polsku psal CSIRT.CZ už v únoru a teď zaznamenal první hlášení o podobném útoku i v České republice. Jde zatím sice o jediný nahlášený případ, ale je otázkou, kolik domácích uživatelů si přenastaveného DNS nemusí vůbec všimnout.
Na napadeném routeru byla nastavena jako primární DNS IP adresa 192.99.14.108. Postižený uživatel byl pak přesměrován například na upravené stránky Seznam.cz a Google.cz, které obsahovaly virus.
Ojedinělý incident?
Napadeným routerem je podle CSIRT.CZ model TP-LINK TD-W8901G, ve světě ale byly postiženy i jiné značky – v březnu například server Ars Technica psal o podobných případech u routerů D-Link, Micronet, Tenda a dalších.
Případ v ČR je alarmující také proto, že na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden,
informuje bezpečnostní tým s tím, že má dotyčný router přislíben k bližšímu prozkoumání.
Není tak zatím jasné, jestli se skutečně jedná o nějaký masivnější a sofistikovaný útok, nebo zda jde o ojedinělý incident.
Nejlepší prevence
Jako prevenci před podobnými útoky doporučuje CSIRT.CZ věnovat pozornost URL v prohlížeči, zejména indikátoru probíhajícího HTTPS spojení, zakázat na routeru možnost vzdálené konfigurace a změnit si výchozí login a heslo, pravidelně updatovat firmware routeru, případně nastavit DNS přímo na koncových zařízeních.
Útok prostřednictvím routeru je totiž nebezpečný zejména v tom, že postihuje všechna zařízení, která jsou přes napadené zařízení připojena k Internetu – bez ohledu na platformu, kterou využívají.
Útočníci mohou po nastavení svého DNS v routeru imitovat například přihlášení k internetovému bankovnictví a získat uživatelovy přihlašovací údaje, popsal CSIRT.CZ možné dopady útoku už při únorovém varování před podobnými útoky v Polsku:
Bohužel ani SSL uživatele v tomto případě zcela neochrání. Mnoho uživatelů má ve zvyku přistupovat ke stránkám bankovnictví pomocí odkazu na hlavní stránce jejich banky. Odkaz na přístup do samotného on-line bankovnictví sice bývá přes https, nicméně útočníci jej v přenášené hlavní stránce detekují, odstraní SSL a změní doménu tak, že začíná „ssl-.“, to kvůli většímu zmatení uživatelů. Samotné SSL mezi bankou a obětí je pak zakončeno na serveru útočníků a dále již komunikace probíhá nešifrovaně. Uživatelé, kteří mají uložený v oblíbených položkách přímý odkaz na https verzi on-line bankovnictví, mají větší šanci, že podvod odhalí, neboť jsou jim útočníky podsunuty falešné certifikáty.
Zdroj: Blog CSIRT.CZ