روترهای خانگی در تیررس هکرها

[C0d3!Nj3ct!0n]

گزارش‌های امنیتی چند شرکت معتبر از حملات گسترده علیه روترهای بی‌سیم خانگی در کشور برزیل خبر دادند. در این حمله‌ها، کاربران با حقه‌هایی وارد سایت‌های آلوده می‌شوند و بدون این‌که متوجه شوند،

تنظیمات DNS روتر بی‌سیم خانگی‌شان که اینترنت نیز روی آن به اشتراک گذاشته شده است، دستکاری می‌شود. اگر این حملات موفقیت‌آمیز باشد،

کاربران قربانی به وب‌سایت‌های جعلی بانکی هدایت می‌شوند و مورد هدف حملات فیشینگ قرار می‌گیرند.

 

محققان امنیتی شرکت کسپرسکی اعلام کردند که این‌گونه حملات با ارسال یک ایمیل اسپم جعلی برای کاربران آغاز می‌شود. کاربران گول این ایمیل‌ها را خورده و روی لینک‌های درون ایمیل کلیک می‌کنند.

در حالی که سایت‌های باز شده دربردارنده محتوای تبلیغاتی یا آموزشی هستند، اما در پس‌زمینه مرورگرها، آدرس‌های URL آلوده بارگذاری و اجرا می‌شوند.

این آدرس‌های URL به آدرس IP محلی روتر بی‌سیم کاربر دسترسی پیدا می‌کنند و با استفاده از نام کاربری و رمزعبور پیش‌فرضِ بیش‌تر این دستگاه‌ها (که مثلاً root:root، admin:admin یا dmin:gvt12345 است)،

سعی می‌کنند تنظیمات DNS Server را تغییر دهند. برای تغییر این تنظیمات نیز، از اسکریپتی به نام dsncfg.cgi استفاده می‌کنند که بخشی از رابط کاربری مدیریتی تحت وب مودم‌های ADSL است.

این مودم‌ها را شرکت‌های ISP کشور برزیل ساخته‌اند و در اختیار مشترکان خود قرار دادند.

 

رمزعبور پیش‌فرض gvt12345، توسط روترهای استفاده شده یک ISP به نام GVT در برزیل پیشنهاد شده است. این گروه از روترها هدف اصلی حملات تزریق DNS بودند، زیرا حدس زدن نام کاربری و رمزعبور آن‌ها ساده است.

کارشناسان کسپرسکی می‌گویند: «در تحقیقات ابتدایی خود، ۵ نام دامنه و ۹ نام آدرس DNS Server را شناسایی کردیم که حملات از طریق آن‌ها اجرا و هدایت می‌شوند.

همگی‌ این آدرس‌ها سایت‌های جعلی فیشینگ سایت‌های معتبر و بزرگ بانکی کشور برزیل را میزبانی می‌کنند.»

حملات تحت وبی که مرورگر را وادار به انجام عملیات‌ غیرقانونی می‌کنند و در نتیجه آن، کاربر ناخواسته به سوی بازدید سایت‌های فیشینگ جعلی هدایت می‌شود،

با نام حملات CSRF (سرنام cross-site request forgery) شناخته می‌شوند. این حملات به طور گسترده علیه دستگاه‌های روتر خانگی استفاده می‌شوند که دسترسی به پنل مدیریتی تحت وب آن‌ها از طریق اینترنت میسر نیست.

حتی ممکن است کاربر رمزعبور پیش‌فرض روتر را تغییر داده باشد. در سال ۲۰۱۳ یک محقق امنیتی به نام جاکوب لِل، از حملات CSRF علیه روترهای شرکت تی‌پی‌لینک گزارش داد.

در این حملات نام کاربری و رمزعبور پیش‌فرض این روترها admin:admin درنظر گرفته شده که عملاً نیز همین اطلاعات صحیح بود و مهاجمان به راحتی توانستند تنظیمات DNS روتر را تغییر دهند.

 

لِل می‌گوید: «حتی اکر نام کاربری و رمزعبور باهم ترکیب شده باشند، مرورگر این درخواست را نادیده گرفته و سعی می‌کند تنظیمات پیش‌فرض یا تنظیمات ذخیره‌شده را برای دسترسی به پنل روتر آزمایش کند.»

او در وبلاگ خود می‌نویسد: «حتی اگر درخواست‌های دسترسی به پنل روتر روی کدهای وضعیتی غیرمجاز HTTP 401 باشند، بازهم مرورگر یک URL معتبر ارسال می‌کند.»

مقصود او این است که در حملات CSRF حتی اگر کاربران رمزعبور پیش‌فرض روتر را تغییرداده باشند و رمزعبور جدید را روی مرورگر ذخیره کرده یا به دفعات زیاد از طریق مرورگر وارد پنل روتر شده باشند،

قربانی می‌شوند و روتر آن‌ها هک خواهد شد. تحقیقات مؤسسه مستقل Security Evaluators نشان می‌دهد ۱۰ مدل روتر بی‌سیم پرفروش و محبوب سال ۲۰۱۳ در برابر حملات تحت وبی مانند CSRF آسیب‌پذیر هستند.

همچنین تحقیقات شرکت امنیتی دیگری به نام Team Cymru نشان می‌دهد طی یک حمله گسترده CSRF نزدیک به ۳۰۰ هزار روتر بی‌سیم هک شده و تنظیمات DNS آن‌ها تعویض شده است.