Botnet ogromnih razmera napada brazilske banke
Kompromitovanjem rutera i modifikovanjem DNS podešavanja, napadači preusmeravaju klijente banaka na phishing sajtove, odakle im kradu kredencijale.
Botnet od preko 100.000 uređaja preusmerava posetioce sajtova brazilskih banaka na 50 aktivnih phishing sajtova. U pitanju je preko 100.000 rutera kod kojih su napadači modifikovali DNS podešavanja kako bi posetioci sajtova za elektronsko bankarstvo brazilskih banaka bili preusmereni na phishing stranice. Oko 88% rutera su u Brazilu, a kampanja traje od sredine avgusta, kada je prvi put primećena sumnjiva aktivnost.
Hakeri koji stoje iza napada, skeniraju brazilske IP adrese tražeći rutere sa slabim lozinkama ili bez lozinki, pristupaju njihovom podešavanju i menjaju legitimna DNS podešavanja sa IP adresama DNS servera pod svojom kontrolom. Ova modifikacija preusmerava sve DNS upite koji prolaze kroz kompromitovane rutere na maliciozne DNS servere. U pitanju je lista od 52 sajta. Većina ovih sajtova su sajtovi brazilskih banaka i web hosting servisa, a preusmeravanje vodi na phishing sajtove koji kradu kredencijale žrtava za date servise (korisnička imena i lozinke za online bankarstvo itd.).
3 modula za napad
Ovaj napad hakeri obavljaju pomoću 3 modula - Shell DNSChanger, Js DNSChanger i PyPhp DNSChanger. Moduli su zasnovani na programskim jezicima u kojima su kodirani.
Prvi modul, Shell DNSChanger, napisan je u Shellu i kombinacija je 25 Shell skripti koje brute-force napadom mogu da otkriju lozinke za 21 ruter ili firmware paket. Ovaj modul su napadači primenjivali u ograničenom obimu.
Drugi modul, Js DNSChanger, napisan je JavaScriptu i sastoji se iz 10 skripti koje brute-force napadom mogu otkriti lozinke za 6 rutera ili firmware paketa. Modul je primenjen na ruterima koji su već bili kompromitovani kako bi skenirao i brute-force metodom napao ostale rutere i uređaje u internim mrežama.
Treći modul, PyPhp DNSChanger, napisan je kombinovano u Pythonu i PHP-u. Najpotentniji je od sva 3 modula. Primenjen je na preko 100 Google cloud servisa, odakle napadači konstantno skeniraju internet kako bi otkrili ranjive rutere. Koristi 69 skripti pomoću kojih brute-force napadom hakeri mogu doći do lozinki za 47 različitih rutera i firmware paketa. Dalje, ovaj modul koristi exploit kojim se zaobilazi procedura autentifikacije na nekim ruterima i koji može da izmeni DNS podešavanja. Ovaj konkretni exploit (poznat kao dnscfg.cgi ranjivost) je primećen u Brazilu još u februaru 2015. kada je korišćen za modifikovanje DNS podešavanja i preusmeravanje korisnika online bankarskih usluga na phishing sajtove.
Istraživači su uspeli da pristupe admin delu PyPhp DNSChanger modula gde su otkrili da je on sam odgovoran za infekciju 62.000 rutera. Treći modul koristi i ukradeni Shodan API ključ kako bi identifikovao ranjive rutere koje može da eksploatiše preko Shodan IoT search engine.
Zaključak
Hakeri koji stoje iza ovih napada nazvani su GhostDNS. Imaju alate za napad na preko 70 različitih vrsta rutera. Do sada su zarazili preko 100.000 rutera, a trenutno hostuju phishing stranice za preko 70 različitih servisa (do sada su otkrivene 52 URL adrese plus 19 phishing sajtova koji su hostovani na istim phishing serverima, ali na koje GhostDNS grupa još nije preusmerila saobraćaj).
Kompletnu listu URL adresa za koje GhostDNS grupa preusmerava saobraćaj na phishing stranice, kao i listu potencijalno ugroženih rutera, možete naći u Netlab izveštaju.
Izvor: ZD Net