Безопасность - роутер

[DarkNightRider]

Через без малого полтора года дошло до журналистов ("как до жирафа").

Киберпреступники переадресовывают трафик маршрутизаторов D-Link на вредоносные сайты

Для компрометации устройств злоумышленники используют известные уязвимости в прошивке.

В последние три месяца некая киберпреступная группировка взламывает домашние маршрутизаторы (в основном речь идет о моделях D-Link), меняет настройки DNS-сервера и перенаправляет трафик на вредоносные web-сайты. Для компрометации устройств злоумышленники используют известные уязвимости в прошивке...

Читать далее: https://www.securitylab.ru/news/498650.php

Техника с Ростелекома в новости явно не хватает, эдакая вишенка на торте получилась бы.

[1715063865]

1715063865

[1715063865]

1715063865

[1715063865]

1715063865

[1715063865]

1715063865

[kreims]

Эта уязвимость уже давно известна - проблема заключается в том что большинство пользователей использует одинаковый пароль для входа на роутер и беспроводную сеть. Путем нехитрых манипуляций днс можно менять пачками.

[DarkNightRider]

Эта уязвимость уже давно известна - проблема заключается в том что большинство пользователей использует одинаковый пароль для входа на роутер и беспроводную сеть. Путем нехитрых манипуляций днс можно менять пачками.

Зачем так усложнять? Можно просто устроиться на работу в Ростелеком техником по подключению интернета и менять ДНС пачками не отходя от лоха клиента.

[kreims]

Или еще круче - поднять свой DHCP с DNS (можно даже готовую виртуалку скачать) и в момент когда отвалится линк провайдера (тот который раздающий L3 на чердаке дома) раздать свои настройки. И вуа ля весь трафик у вас - т.к в основном настройки приезжают по привязанному ип к маку.

[kreims]

Опять подниму тему касательно роутеров микротик - двольно полезно будет знать что в этих роутерах есть функция логгирования.
Ничего настраивать ненужно (хотя и можно).
Если у вас присходит что то непонятное напр. брутфорс роутера - то это можно увидеть в логах и отключить или заблокировать брутфорсера.

[CryptoAsya]

Спасибо за полезную информацию.Уже пора в школах обучать всех информационной безопасности!!

[Vadi2323]

"Бразильские пользователи становятся жертвами необычных кибератак
 
Злоумышленники взламывают маршрутизаторы и меняют настройки DNS.
Уже почти год бразильские пользователи страдают от кибератак, нигде больше в мире не встречающихся. Атаки проходят почти незаметно и могут привести к прямым финансовым потерям.
То, что происходит сейчас в Бразилии, должно стать предупреждающим сигналом для интернет-провайдеров и пользователей по всему миру, уверены эксперты. По их мнению, провайдеры и пользователи должны успеть принять соответствующие меры предосторожности, пока атаки не вышли за пределы Бразилии.
Вышеупомянутые атаки впервые были зафиксированы летом прошлого года специалистами компании Radware. По словам ИБ-экспертов, на то время неизвестные киберпреступники взломали порядка 100 тыс. домашних маршрутизаторов и модифицировали настройки DNS таким образом, чтобы при попытке воспользоваться сервисом online-банкинга жертва перенаправлялась на точную копию настоящего сайта.
По данным исследователей из Ixia, злоумышленники использовали не только копии сайтов бразильских банков, но также подделывали такие ресурсы, как Netflix, Google и PayPal, с целью похищения учетных данных пользователей.
Прошел год, но атаки не прекратились, отмечают эксперты Avast. Напротив, в первой половине 2019 года злоумышленники взломали около 18 тыс. маршрутизаторов в Бразилии и изменили их настройки DNS. Более того, методы атаки усложнились, а количество причастных к ним киберпреступников увеличилось.
По данным Avast, чаще всего пользователи становятся жертвами злоумышленников при посещении, спортивных сайтов, стриминговых видеосервисов и порталов «для взрослых». Размещенная на таких ресурсов реклама содержит вредоносный код, способный определять IP-адрес и модель маршрутизатора и подбирать к ним учетные данные по умолчанию из прилагающегося списка. Этот процесс занимает некоторое время, но пользователи обычно ничего не замечают, поскольку заняты просмотром видео.
Если взлом прошел успешно, вредоносная реклама внедряет дополнительный код, меняющий IP-адреса легитимных DNS-серверов на IP-адреса серверов, подконтрольных киберпреступникам. Когда в следующий раз устройство пользователя подключится к маршрутизатору, вместо полученных от провайдера IP-адресов нужных DNS-серверов оно получит IP-адреса серверов киберпреступников."

Источник: https://www.securitylab.ru/news/499963.php

[kreims]

Тут наверное будет более правильно после подмены DNS оно будет выдавать ip фишинговых серверов кибер преступников.

[Vadi2323]

Группировки Magecart нацелились на маршрутизаторы промышленного класса


До недавнего времени злоумышленники заражали скиммерами только сайты, но теперь они нацелились на маршрутизаторы.
Объединенные под названием Magecart киберпреступные группировки совершенствуют свои атаки таким образом, что их становится все сложнее обнаруживать.
Группировки Magecart занимаются так называемым web-скиммингом – внедряют в сайты интернет-магазинов вредоносный код, похищающий данные банковских карт пользователей. До недавнего времени злоумышленники заражали скрытым в файлах JavaScript или PHP вредоносным ПО только сайты. Однако теперь их атаки перешли на новый уровень, и вместо сайтов киберпреступники стали внедрять код в маршрутизаторы.
Если говорить точнее, группировки Magecart нацелились на маршрутизаторы с функциональностью уровня Layer 7 (L7) – промышленные высокомощные устройства, устанавливаемые в отелях, торговых центрах, аэропортах, правительственных сетях, общественных местах и пр. Данные маршрутизаторы работают как и все остальные, но также способны управлять трафиком на седьмом уровне (уровне приложений) сетевой модели OSI. То есть, они могут реагировать на трафик, основываясь не на одном только IP-адресе, а также на файлах cookie, доменных именах, типах браузера и т.д.

Как сообщают специалисты из IBM X-Force Incident Response and Intelligence Services (IRIS), компрометация маршрутизаторов промышленного класса позволит злоумышленникам использовать их способность манипулировать трафиком для внедрения вредоносных скриптов в активные сеансы браузера.

Выявленные исследователями скрипты предназначены специально для похищения и отправки на удаленный сервер данных банковских карт. Скрипты были обнаружены после того, как злоумышленники загрузили их на VirusTotal, вероятно, с целью проверить, детектируются ли они антивирусными решениями.
Используемые домены и вредоносные коды указывают на то, что новую технику атак тестирует группировка Magecart 5, являющаяся одной из самых «продвинутых» в семействе Magecart.

Источник: https://www.securitylab.ru/news/501381.php

[Harold Finch]

Сейчас в дарквебе уже не удивишь никого взломом роутеров, любой роутер взламывается менее чем за час с правильными руками и оборудованием.
Сейчас переход уже на маршрутизаторы высокого уровня взлом которых приведёт к тому что ваш роутер не надо будет взламывать так как человек посередине будет на уровне поставщика и вы даже не заметите что весь трафик у вас могут отслеживать.

[bigon]

уже был случай подмены днс серверов у гугла, когда пользователи отправлялись на фишингувую страницу MEWa. подмену заметили буквально через пару часов - но многим хватило этого для облегчения кошельков.

Вроде летом это было,у меня ничего не пропало но слышал многих тогда хорошо обули,у меня тоже роутер от провайдера,никогда об этом не задумывался,надо будет внимательно приглядеться.

[vasiashevcov2222]

В общем-то нужно покупать только роутеры нормальных брендов, tp link например (у нас в городе только такие и есть), но не с Китая. Ну и перепрошить потом.

[pishite]

В общем-то нужно покупать только роутеры нормальных брендов, tp link например (у нас в городе только такие и есть), но не с Китая. Ну и перепрошить потом.

А разница в чем? Я имею ввиду из китая он или нет если Вы хотите их прошивать.
Я например давно не доверяю бренду tp-link, так как мне попадалось очень брака от этой компании.
Зато китайская компания tenda мне очень понравилась своей простотой настройки и качеством маршрутизатора.
Так же нравятся роутеры от keenetic(zyxel) и mikrotic(но эти роутеры нужно уметь правильно настроить).

[Vadi2323]

Стройте защиту исходя из того, что на роутер надежды 100% нет. От роутера до сайта куча всякого сброда находится. Не роутер - так провайдер. Не провайдер, так мальчик из Москвы приедет и под видом техника покопается в проводах в ящике на лестничной площадке. Про шпионские закладки от производителя в железе для спецслужб я вообще молчу - рано или поздно инфу про них начинают продавать в даркнете.

Стройте защиту исходя из того, что на роутер надежды 100% нет. От роутера до сайта куча всякого сброда находится. Не роутер - так провайдер. Не провайдер, так мальчик из Москвы приедет и под видом техника покопается в проводах в ящике на лестничной площадке. Про шпионские закладки от производителя в железе для спецслужб я вообще молчу - рано или поздно инфу про них начинают продавать в даркнете.

...
Зато китайская компания...

По закладкам в прошивках китайские коммунисты самые окуевшие, недавно видел китайский ноут, в котором "под нужды железа" отожрали целых без малого 1,5Гб оперативы из доступной 8Гб. Про китайские смартфоны с троянами с завода легенды ходят.

[Mento]

А, что там за паника по поводу вирусов-майнеров на роутерах для скрытой добычи криптовалют? Интерпол бьет тревогу, настоящая эпидемия в Азии.

[pishite]

А, что там за паника по поводу вирусов-майнеров на роутерах для скрытой добычи криптовалют? Интерпол бьет тревогу, настоящая эпидемия в Азии.

Вот вам и микротик, дай доступ к терминалу и напишут еще и не такое.
Хорошо что он только майнил, а не похищал еще и пароли, хотя это мы скорее всего не узнаем.

[Cryptogon999]

На моем Асус роутере есть возможность ограничить число подключаемых гаджетов вплоть по наименованиям и ни кто сторонний без моего ведома  не сможет законнектится к нему, всегда вижу количество подключенных гаджетов и их марки, а еще есть режим  на 5 Ггц.

[butcher_spam]

Есть виды сетей, подразумевающие под себя статическое подключение по WAN. Зачастую в таких настройках, DNS вводятся так-же вручную. Всё это делается для обеспечения стабильного, надежного моста между проводниками трафика. Не важно какой он будь провайдер, у каждого провайдера есть по несколько видов сетей. Например в определенных районах могут стоять признаки Динамической сети, на других-же Статические признаки.
От роутера в этом случае, можно ожидать безопасность в качестве дополнения к той, которую предоставляет провайдер. На край, для самых паранойных можно предусмотреть вариант отказа от покупки роутеров, так как производители роутеров, имеют полное право заключать конфиденциальные договоры/контракты с конфиденциальными организациями.

[vromaniuk277]

Много полезной информации, про которую провайдер не говорил, спасибо. Позже выполню некоторые пункты, чтобы больше защитить свой роутер.