Experter på it-säkerhetsföretaget Bad Packets har upptäckt en sedan tre månader pågående attack mot användare av flera populära onlinetjänster, däribland Gmail, Netflix och Paypal. Attacken är en så kallad dns-hijacking attack och utnyttjar infekterade routrar från leverantören D-link, skriver Cyberdefence Magazine.

D-link-routrarna har hackats med hjälp av verktyget Masscan som letar efter aktiva klienter på tcp-port 81. Sedan hackarna fått tillgång till routrarnas administrationsgränssnitt har de kunnat ändra i inställningarna för dns för att omdirigera användarna till fejkade webbsidor som stjäl deras inloggningsuppgifter. Bad Packets har identifierat fyra falska dns-servrar som används av förövarna för att omdirigera trafiken.

I sin rapport skriver Bad Packets att "de senaste tre månaderna har våra honungsfällor snappat upp attacker mot olika konsument-routrar. Alla försök att exploatera routrarna utgår från klienter på Google Cloud Platforms nätverk (AS15169). I denna kampanj har vi hittat fyra falska dns-servrar som används för att omdirigera trafik”.

Den pågående attacken har kommit i fyra vågor beroende på vilken av de fyra falska dns-servrar det handlar om. Alla attackerna involverar hackade D-link-routrar av olika modeller. Sammantaget är det följande routrar som kan vara drabbade: DSL-2640B, DSL-2740R, DSL-2780B, DSL-526B, ARG-W4 ADSL, DSLink 260E, men även routrar från Totolink och Secutech. Sammanlagt kan det röra sig om 16 500 drabbade routrar.

De falska dns-servrarna finns eller har funnits inom nätverket för OVH Canada med ip-adresserna 66.70.173.48 och 144.217.191.145 och två ip-adresser inom nätverket för Inoventica Services i Ryssland: 95.128.126.165 och 195.128.124.131. De flesta dns-förfrågningar omdirigeras via två inte helt ärliga AS, nämligen AS206349 och AS395082.


TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.


Läs också:
Mirai vill in på företagen – infekterar tv-skärmar och presentationsutrustning
116 modeller av hemmaroutrar i nyupptäckt botnät – här är hela listan