Hackers kapen DNS-verkeer van diverse D-Link-routers

Hackers hebben de afgelopen drie maanden ingebroken in routers die gebruikt worden voor thuisgebruik, kleine kantoren of thuiskantoren. De aanvallers kapen en wijzigen het verkeer bedoeld voor legitieme websites en leiden deze om naar kwaadaardige klonen. Volgens Bad Packets, specialist in internet monitoring, vinden de aanvallen nog steeds plaatst en betreft het veelal routers van D-link.

Daarnaast zouden ook routers van de merken ARG, DSLink, Secutech en Totolink door dezelfde hackergroep worden misbruikt voor kwaadwillende acties. Troy Mursch, oprichter en beveiligingsonderzoeker van Bad Packets, detecteerde volgens ZDnet drie verschillende golven waarop hackers aanvallen zouden hebben uitgevoerd op besmette DNS-instellingen van routers: december 2018, begin februari 2019 en eind maart 2019.

Kwetsbare routers

Het zou gaan om de volgende routers, waarvan het nummer achteraan elk model een lijst aangeeft van het aantal internetbelemmerde routers, zoals gezien door de BinaryEdge-zoekmachine:

  • D-Link DSL-2640B – 14,327
  • D-Link DSL-2740R – 379
  • D-Link DSL-2780B – 0
  • D-Link DSL-526B – 7
  • ARG-W4 ADSL routers – 0
  • DSLink 260E routers – 7
  • Secutech routers – 17
  • TOTOLINK routers – 2,265

De hackers gebruiken bekende exploits in routerfirmware om kwetsbare apparaten te hacken. Vervolgens brengen ze wijzigingen aan in de DNS-configuratie van de router, waaronder het aanmaken van IP-adressen van valse DNS-servers. Acties die voor de meeste gebruikers onopgemerkt blijven. Mursch beweert dat er vier van dit soort IP-adressen zijn gebruikt,  alleen is tot nu toe niet bekend welke legitieme websites in eerste instantie zijn aangevallen.

Exploits in routerfirmware

Daarentegen is de locatie van de kloonwebsites wél achterhaald door de onderzoekers. “Het merendeel van de DNS-aanvragen werd omgeleid naar twee IP’s die waren toegewezen aan een misdaadvriendelijke hostingprovider (AS206349) en een andere naar een service die geld genereert aan geparkeerde domeinnamen (AS395082)”, aldus Mursch, die in deze verwijst naar de tweet van weer een andere beveiligingsonderzoeker.

De hackers gaan als volgt te werk:

  • De computer of smartphone van de gebruiker ontvangt verkeerde DNS-serverinstellingen van de gehackte router.
  • De gebruiker probeert toegang te krijgen tot legitieme site.
  • Het apparaat van de gebruiker maakt een DNS-verzoek naar de kwaadwillende DNS-server.
  • De Rogue-server retourneert een onjuist IP-adres voor de legitieme site.
  • De gebruiker komt op een kloonwebsite terecht, waar hij mogelijk moet inloggen en op dat moment meteen ook onbewust zijn wachtwoord deelt met de aanvallers.

DNSChanger

Volgens ZDnet staan dit soort zogeheten DNSChanger aanvallen niet op zichzelf, maar zijn ze wel vrij zeldzaam vergeleken met andere cyberaanvallen. Ze worden gezien als buitengewoon gevaarlijk en zeer efficiënt. Zo vonden er in 2016 massale DNSChanger-aanvallen plaats, waarbij kwaadaardige advertenties router-exploits opleverden die de DNS-instellingen van de router veranderden.

Bovendien werden eerder routers in Brazilië geïnfecteerd door IoT-malware met als doel DNS-instellingen te veranderen om zo Braziliaanse banken om te leiden naar phishing-pagina’s. Daarnaast hackte de cyber-spionage-groep van Roaming Mantis begin 2018 routers op een vergelijkbare manier. Zij veranderde DNS-instellingen om gebruikers om te leiden naar sites die Android-malware hosten.

Kloon IP-adressen

Voor wat betreft de door Bad Packets gedetecteerde aanvallen is het slim om de DNS-instellingen van de hierboven genoemde apparaten te controleren en deze te vergelijken met die van de internetprovider. Wanneer er sprake is van een van de vier onderstaande IP-adressen, dan is de router geïnfecteerd en moet je de firmware zo snel mogelijk upgraden:

  • 66.70.173.48
  • 144.217.191.145
  • 195.128.126.165
  • 195.128.124.131

Lees ook: Grootschalige DNS-hack richt pijlen op bedrijven wereldwijd