В последние три месяца некая киберпреступная группировка взламывает домашние маршрутизаторы (в основном речь идет о моделях D-Link), меняет настройки DNS-сервера и перенаправляет трафик на вредоносные web-сайты. Для компрометации устройств злоумышленники используют известные уязвимости в прошивке.

По данным специалистов Bad Packets, отслеживающих кампанию, список атакуемых маршрутизаторов включает модели D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B, D-Link DSL-526B, ARG-W4 ADSL, DSLink 260E, устройства Secutech и TOTOLINK. Эксперты зафиксировали три волны атак – в конце декабря 2018 года, начале февраля 2019 года и в конце марта. Кампания все еще активна.

В ходе атак злоумышленники внедряют IP-адреса вредоносных DNS-серверов и подменяют IP-адреса легитимных сайтов адресами вредоносных ресурсов. На данный момент исследователи выявили только четыре адреса — 66.70.173.48, 144.217.191.145, 195.128.126.165 и 195.128.124.131.

Специалисты пока не смогли определить, какие именно легитимные сайты подменяют атакующие, однако они выяснили, что большинство DNS-запросов перенаправляется на два IP-адреса, один принадлежит болгарскому хостинг-провайдеру, который в прошлом связывался с вредоносными кампаниями, а второй – сервису по монетизации паркованных доменов.

Специалисты рекомендуют владельцам маршрутизаторов обновить прошивку устройств, а также проверить настройки DNS на предмет изменений.

Парковка доменов (domain parking) — регистрация доменного имени на DNS-серверах предоставляющего парковку сервиса без использования домена по прямому назначению (для создания web-сайтов). Парковка домена позволяет зарезервировать (сохранить за собой) неиспользуемое доменное имя его владельцу.

Источник: securitylab.ru