V Polsku se objevil nový a obzvlášť záludný útok na domácí uživatele

Akademický CSIRT tým CERT Polska upozornil předminulý týden na nový a velmi nebezpečný útok, který zneužívá nedávno nalezené chyby v domácích routerech. Útočníci při něm změní DNS servery v routeru na DNS servery ovládané útočníky. Pokud si pak oběť vyžádá například adresu www.skvelabanka.cz, útočník ji může přesměrovat na jím ovládané webové stránky. Tento útok postihne všechna zařízení, která jsou v koncové síti připojena, lhostejno, zda se jedná o mobilní telefon, tablet s OS Android, MAC či PC s OS Linux nebo Windows. Takto se útočníkům efektivně podařilo překonat problém s multiplatformním prostředím, které obvykle brání rozšíření klasického bankovního malwaru na více platforem. Na druhou stranu je útok omezen přítomností zranitelného routeru v dané síti.

Útok pak údajně probíhá jako při klasické nákaze bankovními trojany, při níž je obsah internetového bankovnictví transparentně modifikován pomocí javascriptů. Bohužel ani SSL uživatele v tomto případě zcela neochrání. Mnoho uživatelů má ve zvyku přistupovat ke stránkám bankovnictví pomocí odkazu na hlavní stránce jejich banky. Odkaz na přístup do samotného on-line bankovnictví sice bývá přes https, nicméně útočníci jej v přenášené hlavní stránce detekují, odstraní SSL a změní doménu tak, že začíná „ssl-.“, to kvůli většímu zmatení uživatelů. Samotné SSL mezi bankou a obětí je pak zakončeno na serveru útočníků a dále již komunikace probíhá nešifrovaně. Uživatelé, kteří mají uložený v oblíbených položkách přímý odkaz na https verzi on-line bankovnictví mají větší šanci, že podvod odhalí, neboť jsou jim útočníky podsunuty falešné certifikáty.

Vzhledem k tomu, že tento útok postihuje všechna zařízení na různých platformách, nelze vyloučit, že se podobný útok časem objeví i v dalších zemích. Zde je sada našich doporučení, která by měla zmírnit riziko, že se stanete obětí tohoto nového útoku:

1) Všímejte si adresy URL v prohlížeči a věnujte pozornost indikátoru probíhajícího HTTPS spojení.

2) Na routeru zakažte vzdálenou konfiguraci a změňte výchozí uživatelské jméno a heslo.

3) Proveďte update na poslední verzi firmware, která je pro váš router dostupná. Je potřeba mít na paměti, že routery obvykle nemají žádné automatické aktualizace a tak je starost o updaty zcela v režii uživatele.

4) Případně můžete nastavit DNS servery přímo na koncových zařízeních, tak aby nedocházelo k jejich nastavení ze strany routeru. V tom případě můžete použít DNS servery vašeho poskytovatele připojení, případně můžete využít DNS serverů sdružení CZ.NIC. Jedná se o resolvery s IP adresami 217.31.204.130 a 193.29.206.206. Pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:1488:800:400::130 a 2001:678:1::206.

5) Pokud to je možné, používejte DNSSEC validaci přímo v koncových zařízeních.

I když uvedený útok směroval v Polsku na klienty internetového bankovnictví, rozhodně to nemusí být jediný cíl. Zrovna tak jej lze využít pro sběr přístupů k e-mailovým adresám či pro získání přístupů k sociálním sítím. Možnosti využití tohoto útoku jsou zkrátka rozsáhlé a riziko vzhledem k nenápadnosti a obtížné detekovatelnosti na straně uživatele poměrně vysoké.

Snad tento článek pomůže českým uživatelům připravit se na den, kdy se tento způsob útoku objeví i u nás.

Pavel Bašta

Autor:

Komentáře (6)

  1. Karel Jancarik říká:

    Dobrý den,
    kdyby byl v Polsku stejný nebo podobný projekt jako je Turris, jak by reagovala centrála Turrisu?

  2. Bedřich Košata říká:

    Dobrý den,

    vidím tu dvě podotázky, které se týkají Turrisu. První je možná detekce šíření tohoto malware. Tam by hodně záleželo na vlastnostech takového provozu, ale je možné, že by se objevil jako anomální, protože by vykazoval na mnoha routerech podobné chování a přitom nebyl součástí standardního provozu. V takovém případě bychom jej analyzovali a snad i odhalili jeho podstatu a našli opravu.

    Druhá otázka je, jak bychom se zachovali ve chvíli, kdy bychom o takové zranitelnosti věděli, ať už z našeho vlastního výzkumu nebo z nezávislého zdroje. V tom případě bychom co nejrychleji připravili záplatu a pomocí automatických aktualizací ji rozeslali na všechny routery, kde by se nejpozději do hodiny objevila.

  3. David Ruzicka říká:

    Tak to zní hodně povzbudivě, už se těším až Turris dorazí.

  4. Jarda říká:

    Dobrý den,
    před několika týdny jsem tento problém s podvrženými DNS servery řešil(a vyřešil) na několika českých domácích sítí. Všechny využívaly modem typu TP-Link a O2 jako poskytovatele internetového připojení.
    Stránka Googlu, na kterou jsem byl přesměrován vyžadovala ke stažení aktualizace „Flash playeru“, a neměla podepsaný certifikát.

    Problém byl vyřešen úplným(tvrdým) resetováním nastavení celého modemu/routeru, vymazáním veškerých cookies a jiných souborů uložených v prohlížeči. Dále vyčištěním všech počítačů v síti pomocí antimalwarových a antivirových programů. Také jsem v modemu zakázal vzdálený přístup.

    Snažil jsem se zjistit na jakém PC v celé síti se malware objevil jako první, ale na všech byly nalezeny výhradně Cookie trackery a pár Add blockerů.

    Zajímavým prvkem bylo, že se problém objevil pouze na úzce propojených sítích a to s modemem chráněným komplikovaným(kombinace čísel, velkých malých písmen a spec. znaků) heslem, nově aktualizovaným firmwarem a zapnutým firewallem

    Inspiraci při řešení a používané programy jsem čerpal z:
    http://malwaretips.com/blogs/please-install-flash-player-update-virus/

  5. Luděk říká:

    Dobrý den, před chvíli jsme u uživatele zaznamenal tento útok na ADSL modemu Airlive WT-2000ARM. Byl nastavený stejný podvržený DLS server. Mám printscreen a mohu zaslat podrobnosti.

  6. Zdeněk Polách říká:

    Tušíte prosím, jak jsou na tom routery s OpenWRT? Aktualizace tam taky neprobíhají velmi často, takže průnik přes nějakou security hole by byl možný..

Zanechte komentář