8月にブラジルのD-Linkルーターで初めて発見されたDNSchangerのような攻撃は、70以上の異なるデバイスと10万個以上の個々の機器に影響を与えるまでに拡大した。
ラドウェアは、最初に最新のキャンペーンを特定しました。これは、DNS リダイレクトを介して、ユーザーをクローンされた Web サイトに送り、認証情報を盗むという、ブラジル銀行の顧客に対する攻撃として始まりました。
現在、Quihoo の Netlab 360 チームは、GhostDNS と名付けたこの攻撃が「一連の新しいスキャナーを使って攻撃活動を大幅に強化し始めている」と警告している。
ブラジル人が襲われる:詐欺師が銀行のDNSを乗っ取り、被害者から金を巻き上げる
続きを読む
攻撃者は、Web管理者のパスワードを推測するか、脆弱なDNS設定CGIスクリプト(dnscfg.cgi)を介して標的マシンの制御を試みていました。デバイスの制御に成功した場合、ルーターのデフォルトDNSサーバーを自身の「不正な」マシンに変更します。
Netlab 360 の投稿では、被害者のデフォルトの DNS をリダイレクトするだけでなく、GhostDNS キャンペーンではシェル、JavaScript プログラム、または Python プログラムとして実行される 3 つの DNSChanger の亜種も使用すると付け加えています。
しかし、待ってください。投稿にはさらにこう書かれています。「GhostDNS システムは、DNSChanger モジュール、フィッシング Web モジュール、Web 管理モジュール、不正 DNS モジュールの 4 つの部分で構成されています。」
記事によると、シェル DNSChanger モジュールは 21 種類のルーター モデルで動作し、JavaScript モジュールは 6 種類のモデルに感染する可能性があり、Python バージョンは主に Google のクラウド上にある 100 台のサーバーにインストールされているという。
投稿によれば、現段階ではリダイレクト攻撃はブラジルのウェブサイトに重点が置かれており、侵害を受けたデバイスの約88%もブラジルにあり、不正なDNSサーバーはHostkey、Oracle、Multacom、Amazon、Google、Telefonica、Aruba、OVHで運用されているという。
ボリビア、アルゼンチン、セント・マーチン、メキシコ、ベネズエラ、米国、ロシア、その他いくつかの国でも、侵害されたキットが発見されている。
OVH、Oracle、Googleは攻撃者を自社のインフラから排除しており、他の企業も「対応中」だと投稿には記されている。
Netlab 360 の研究者は、3Com*、A-Link、Alcatel / Technicolor、Antena、C3-Tech、Cisco、D-Link、Elsys、Fiberhome、Fiberlink、Geneko、Greatek、Huawei、Intelbras、Kaiomy、LinkOne、MikroTik、MPI Networks、Multilaser、OIWTECH、Perfect、Qtech、Ralink、Roteador、Sapido、Secutech、Siemens、Technic、Tenda、Thomson、TP-Link、Ubiquiti、Viking、ZTE、Zyxel も脆弱なベンダーとして挙げています ( * 3Com という名前はとっくに店頭から消えていることはわかっています。The Register は、ベンダー リストは侵害を受けたデバイスを照会してコンパイルされているため、3Com の名前が一部の HP デバイスのファームウェアに残っているのではないかと推測しています)。
ロシア人が作成したWive-NGルーターファームウェアも悪用されたと投稿には記されている。®
