駭侵組織鎖定 D-Link、TOTOLINK 等家用路由器進行 DNS 劫持

近三個月來有駭侵團體鎖定家用路由器進行 DNS 劫持攻擊,遭入侵的多為 D-Link 和 TOTOLINK 的產品,總數接近兩萬台。

資安公司 Bad Packets 指出,該公司自去年十二月起觀察到至少三波大規模家用路由器劫持攻擊事件,而攻擊行動目前仍持續進行中。


駭侵團體透過路由器韌體的安全漏洞,竄改路由器的 DNS 伺服器設定,將用戶的網路連線導向至假的 DNS 伺服器,以讓用戶進入假網站,誘使用戶輸入帳號密碼或其他重要資訊。

據報導,受害者會被導至的假網站包括 Netflix、Google、PayPal 等,以及巴西多家銀行的官方網站。


目前已知受害的路由器廠牌型號與受感染台數分列如下:

  • D-Link DSL-2640B – 14,327
  • D-Link DSL-2740R – 379
  • D-Link DSL-2780B – 0
  • D-Link DSL-526B – 7
  • ARG-W4 ADSL routers – 0
  • DSLink 260E routers – 7
  • Secutech routers – 17
  • TOTOLINK routers – 2,265
     

如果你發現自己的路由器 DNS 被設定為以下四個 IP 之一,請立即更正,並儘快更新路由器韌體。

  • 66.70.173.48
  • 144.217.191.145
  • 195.128.126.165
  • 195.128.124.131

攻擊手法:

駭客透過已知的「DNSChanger」攻擊,竄改路由器的 DNS 設定,以攔截並重新導向受害者的網路連線至假冒網站。

參考連結:

  1. https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/
  2. https://twitter.com/stefant/status/1114190053226549248
  3. https://en.wikipedia.org/wiki/DNSChanger
  4. https://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/#ftag=RSS-03-10aaa0a

發表留言