Hackers kaapten drie maanden lang DNS-verkeer op D-Link-routers

Een hackersgroep heeft de afgelopen drie maanden routers voor in huis gehackt – vooral D-Link-modellen – om DNS-serverinstellingen aan te passen en verkeer bedoeld voor legitieme sites te kapen en om te leiden naar malafide klonen. 

De aanvallers gebruiken bekende exploits en firmware van routers om kwetsbare apparaten te hacken en stille wijzigingen aan de DNS-configuratie door te voeren. Die wijzigingen zullen de meeste gebruikers niet opmerken, schrijft ZDNet. De volgende modellen blijken doelwit te zijn van de groep:

  • D-Link DSL-2640B
  • D-Link DSL-2740R
  • D-Link DSL-2780B
  • D-Link DSL-526B
  • ARG-W4 ADSL routers
  • DSLink 260E routers
  • Secutech routers
  • TOTOLINK routers

Beveiligingsonderzoeker en oprichter van Bad Packets Troy Mursch zegt drie afzonderlijke golven te hebben waargenomen, waarin hackers aanvallen lanceerden om de DNS-instellingen van routers te vergiftigen. Die golven vonden plaats aan het einde van december 2018, het begin van februari en het einde van maart. De aanvallen gaan bovendien nog altijd door.

Werking aanvallen

De bedoeling van de hack-campagne is om IP-adressen van malafide DNS-servers te injecteren in routers van anderen. Volgens Mursch hebben de hackers tot nu toe vier IP-adressen gebruikt. Op die vier malafide DNS-servers zijn de IP-adressen van legitieme websites vervangen door de IP-adressen van klonen die de hackers draaien.

Op zo’n malafide kloon wordt een gebruiker mogelijk gevraagd om in te loggen en zijn wachtwoord te delen met de aanvallers. Het is echter onbekend welke legitieme sites de hackers als doelwit hadden tijdens de drie campagnes. Wel is duidelijk waar het verkeer naar werd omgeleid.

“Het overgrote deel van de DNS-verzoeken werd omgeleid naar twee IP’s op een criminaliteitvriendelijke hosting provider (AS206349), en een andere gaat naar een dienst waarmee geld verdiend kan worden met geparkeerde domeinnamen (AS395082).”

Beveiligen

Eigenaars van de eerder genoemde apparaten worden geadviseerd om de DNS-instellingen van hun router te controleren en om DNS IP-adressen te vergelijken met de IP-adressen die door hun internetprovider geleverd worden. Wordt een van de onderstaande IP-adressen gedetecteerd, dan zijn de DNS-instellingen van de router al aangepast door de hackers, en moet de firmware zo snel mogelijk geüpdatet worden:

  • 66.70.173.48
  • 144.217.191.145
  • 195.128.126.165
  • 195.128.124.131