Троянец взламывает Wi-Fi-роутеры и подменяет DNS

Один из самых распространенных и важных советов по кибербезопасности можно сформулировать так: никогда не вводите логины, пароли, и другие личные данные на странице, с адресом которой что-то не так. Это практически 100% не безопсно! Если в адресе вместо facebook.com вы увидите у примеру fasebook.com или что-то подобное, то вероятнее всего, такая страница создана только с одной целью —  обман пользователей и кража персональных данных.

Но что, если поддельная страница открывается по настоящему адресу? Оказывается, такой неприятный вариант также возможен и для этого, злоумышленникам не требуется взлом серверов, где хранится эта страница. Далее расскажем, как это работает.

Подмена DNS-запросов

Подмена DNS-запросов

Современные пользователи Интернета привыкли к символьным адресам сайтов, например: blogosoft.com или yandex.ru. Действительно, такие адреса и набирать проще, и запоминаются они лучше. Между тем, для адресации узлов Интернета используются специальные числовые «коды» – IP-адреса. Система доменных имён как раз служит для выполнения преобразований между символьными и числовыми адресами. Каждый раз, когда вы вводите в строке браузера адрес сайта в привычном вам формате, компьютер посылает запрос специальному DNS-серверу, который возвращает IP-адрес нужного вам домена.

Например, если ввести в строке браузера yandex.ru, то DNS-сервер вернет вам адрес 5.255.255.60  и именно по этому адресу вы и перейдете на самом деле.

И вот проблема в том, что злоумышленники могут создать свой собственный DNS-сервер, который будет превращать запрос yandex.ru в какой-то другой IP-адрес например, 7.7.7.7, по которому вместо настоящего сайта будет размещен поддельный. Этот метод называется подмена DNS (DNS hijacking).

Дело за малым: злоумышленникам остается обмануть пользователя, чтобы он вместо настоящего DNS-сервера использовал поддельный, и который перенаправлял бы его на вредоносный сайт. Вот как данную задачу решили создатели трояна Switcher.

Работа троянской программы Switcher

Разработчики создали пару программ для платформы Android, одна из которых имитирует приложение поисковой системы Baidu (это китайский поисковик), а вторая –  также достаточно популярную в Китае утилиту для поиска паролей к Wi-Fi-сетям, которыми обмениваются пользователи.

троян

После того как приложение попадает на смартфон, подключенный к Wi-Fi, оно связывается с командным сервером злоумышленников и сообщает, что троян активирован в Wi-Fi-сети с таким-то идентификатором.

Затем Switcher приступает к взлому Wi-Fi-роутера: он по очереди проверяет различные пароли администратора для входа в настройки маршрутизатора. На данный момент троян умеет работать только на роутерах TP-Link.

После того как трояну удаётся подобрать пароль, он заходит на страницу сетевых настроек роутера и прописывает в них адрес одного из вредоносных DNS-серверов в качестве используемого по умолчанию. А в качестве запасного DNS-сервера троян указывает настоящий DNS-сервер Google 8.8.8.8 – чтобы в случае отказа вредоносного сервера, пользователь не заметил сбоя.

Поскольку в большинстве беспроводных сетей все устройства получают сетевые настройки, и в том числе адреса DNS-серверов, от роутера, то все пользователи, подключившиеся к уже захваченной злоумышленниками Wi-Fi-сети, автоматически будут использовать вредоносный DNS.

Об успехе операции троян сообщает на командный сервер. На нём экспертам лаборатории Касперского удалось обнаружить статистику успешных атак, которую злоумышленники по неосторожности оставили в открытой части сайта.

Если верить этой статистике, за неполные четыре месяца работы им удалось захватить уже 1280 беспроводных сетей, и трафик всех пользователей этих сетей может быть перенаправлен по команде злоумышленников.

Как защититься от подмена DNS

  1. В первую очередь – на странице настроек роутера смените пароль по умолчанию, на сложный и надежный (желательно состоящий из цифр, букв и спец симолов).
  2. К сожаления, даже в официальных магазинах приложений, нередко встречаются вредоносные программы. Поэтому не устанавливайте подозрительные приложения  на мобильные устройства.
  3. Для надежной защиты на уровне софта, обязательно используйте надежное антивирусное решение. Выбрать подходящий антивирус можно на этой странице.
НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Троянец взламывает Wi-Fi-роутеры и подменяет DNS