Posté le avril 5, 2019 à 8:13
LES ROUTEURS D-LINK PIRATÉS PAR LES HACKERS
Les hackers utilisent depuis trois mois des routeurs D-Link pour pirater le trafic DNS, les attaques étant toujours en cours.
Les hackers ont utilisé des exploits bien connus du microprogramme de routeur pour accéder à des périphériques vulnérables. Ils ont ensuite procédé à la modification des configurations DNS dans ces routeurs. Ces changements ont été plus ou moins connu par la plupart des utilisateurs qui ne sont pas assez technophiles pour les remarquer.
Les attaques se déroulaient en trois vagues. La première vague a eu lieu fin décembre 2018. La deuxième vague s’est produite en février 2019 et la dernière vague a eu lieu récemment le mois dernier. C’est un rapport de BadPackets, un groupe de recherche important d’Infosec. Ils indiquent également dans le rapport que des attaques sont en cours et que de nombreux utilisateurs risquent toujours d’être victimes des hackers.
Le rapport a pris note des routeurs D-Link qui ont été ciblés. Les DSL-2640B, DSL-2740R, DSL-2780B et DSL-526B sont tous exposés, mais les chiffres disent autre chose. Le nombre de routeurs connectés à Internet varie considérablement.
Le DSL-2640B est le plus à risque puisqu’il existe 14 327 routeurs connectés à Internet. C’est le plus grand nombre de routeurs D-Link. Contrairement au DSL-2740R, le DSL-2780B ne possède aucun routeur connecté. Ces données ont été collectées par des Bad Packets à l’aide du moteur de recherche Binary Edge.
Les utilisateurs sont vulnérables au phishing.
Les adresses IP injectées dans ces routeurs sont utilisées spécifiquement pour obtenir des informations de connexion. Les hackers ajoutent des adresses IP aux serveurs DNS non autorisés. Ces serveurs DNS redirigent ensuite l’utilisateur vers une fausse page de connexion. Étant donné que les serveurs DNS ont uniquement un marquage important sur certains sites Web, l’expérience de navigation globale de la plupart des utilisateurs n’est pas affectée.
Le plus gros problème est que cela ne prend pas en compte l’appareil utilisé. Que vous utilisiez votre téléphone portable, le portable d’un ami ou votre propre ordinateur portable/PC, le résultat est le même. Cela permet aux hackers d’accéder à un plus grand nombre de connexions que s’ils avaient infecté une machine.
Bad Packets n’a jusqu’à présent identifié que quatre adresses IP et n’a pas été en mesure de déterminer quels sites légitimes ont été ciblés par ces attaques. Ils ont découvert que le trafic était acheminé vers des plates-formes d’hébergement propices à la criminalité. BlueAngel Hosting, de Bulgarie, en fait partie. Une autre société Bodis LLC connue pour l’hébergement de domaines parqués.
Ces attaques ne sont pas nouvelles et ont déjà été utilisées. On les appelle attaques de DNSChanger. Elles sont bien plus dangereuses que les attaques normales, mais elles sont aussi beaucoup moins courantes. Ils sont également très faciles à repérer, selon Bad Packets.
L’un des plus gros et des plus dangereux piratages précédents s’est produit au Brésil. Une souche particulière de périphériques IdO infectés par des logiciels malveillants et parvenue à infecter les routeurs avec les modifications de DNS. Le DNS indiquerait aux utilisateurs un faux login vers des comptes bancaires en ligne et rassemblerait les données des utilisateurs pour les introduire dans les systèmes bancaires.
Une autre attaque de ce type a eu lieu en 2018. Ce fut un scandale lourd de conséquences, au niveau des États-Nations, et montre à quel point de nombreux pays prennent au sérieux la cybersécurité. Le logiciel malveillant a permis aux hackers de diriger des téléphones Android vers un cheval de Troie. Cela a été réalisé par le groupe de piratage Roaming Mantis.
Les utilisateurs actuels doivent vérifier les paramètres DNS.
Si vous possédez l’un des périphériques ci-dessus, Bad Packets vous a recommandé de vérifier les paramètres DNS de votre routeur. S’ils sont identiques aux adresses IP autorisées par votre fournisseur d’accès internet, vous pouvez être assuré que rien de grave ne s’est produit.
Toutefois, si l’une des adresses IP suivantes se trouve dans les paramètres DNS, votre routeur peut avoir été compromis. Vous devrez suivre les instructions de votre FAI pour changer le micrologiciel de votre routeur.
66.70.173.48
144.217.191.145
195.128.126.165
195.128.124.131