Router sotto attacco, nuova tecnica modifica DNS e ruba credenziali

Router e pirateria informatica, dal Brasile una nuova tecnica di attacco punta a modificare DNS.


Una nuova metodologia di attacco verso i nostri router, questa volta la scuola è quella brasiliana, nota soprattutto per l'utilizzo di tecniche piuttosto strane e particolari, con l'attacco ai router di casa, e l'obiettivo di modificarne le impostazioni del server DNS.

I ricercatori di Avast spiegano come i cyber-criminali in questione utilizzino due exploit differenti, chiamati GhostDNS e SonarDNS, strumenti di hacking che sarebbero stati inseriti al'interno di siti web , precisamente siti di streaming video o con contenuti per adulti, utilizzando di conseguenza una delle tecniche maggiormente utilizzate , il brute force, con delle credenziali predefinite, di conseguenza , quello che i pirati vanno ad utilizzare è uno strumento che identifica il modello di router usato dalla vittima in questione, cercando di accedervi con le relative credenziali.
utilizzando il codice di GhostDNS i ricercatori sono riusciti ad individuare una collezione di credenziali che comprende come username il solito "admin", e come password "gvt12345" , si tratta effettivamente di credenziali di accesso predefinite per certi router, precisamente quelli GTV di proprietà Teleonica Brasil, uno dei provider più importanti del Brasile.
SonarDNS invece è uno strumento ancora più sofisticato, si tratta infatti di un software derivato da uno strumento hacking chiamato sonar.js, utilizzato normalmente per penetration test dai white hat o hacker etici, per testare appunto le vulnerabilità delle reti e dei sistemi di sicurezza informatica.
Questo software è comunque in grado di individuare dispositivi collegati in rete e scegliere in modo autonomo gli exploit per violare la configurazione, accompagnati a questo tipo di attacco i cyber-criminali utilizzano anche dei falsi messaggi, come ad esempio l'aggiornamento del browser , ma in realtà non si tratta altro che di campagne phishing, in grado di rubare le credenziali di accesso e di effettuare appunto la modifica dei DNS.

Un esempio è la pagina di accesso alla propria banca , il funzionamento è identico al classico attacco phishing, con l'indirizzo IP mascherato dalla pagina della propria banca, quest'ultima punta direttamente all'IP utilizzato dai pirati e di conseguenza il gioco è fatto, credenziali rubate.
Avast ,  secondo il suo report dichiara che questo tipo di attacco è in continuo aumento , ed avrebbe messo a rischio oltre 180.000 router, non solo in Brasile ma in tutto il mondo, mettendo a rischio non solo un "esercito" di router, ma soprattutto la propria privacy ed i propri dati , tramite lo sniffing delle password, mettendo in luce la delicata situazione dei dati sensibili di tutte le vittime colpite.

Nessun commento

Powered by Blogger.