Jsou napadené Wi-Fi routery zneužívány k šíření bankovního malwaru?

Může to být i jinak, ale časové by to docela sedělo, a i jiné indicie tomu nasvědčují.

Již několik let trpí některé Wi-Fi routery vybavené firmwarem ZyNOS zranitelností, která umožňuje komukoliv, kdo zná jejich veřejnou adresu, se k nim po síti připojit a bez přihlášení si z nich stáhnout soubor, který obsahuje konfiguraci routeru včetně hesla k administračnímu rozhraní. Stačí jen do prohlížeče napsat http://ipadresarouteru/rom-0.

Je zajímavé, že byť se o této zranitelnost ví již někdy od roku 2012, byl detailní popis této zranitelnosti včetně exploitace publikován až 11. ledna 2014, a první případy zneužití se začaly v ČR objevovat až za dalších několik měsíců. To znamená, že zde máme hezkých pár let otevřené okno zranitelnosti, podobně jako tomu bylo v případě OpenSSL a zranitelnosti Heartbleed.

Dle Tomáše Hlaváčka z CZ.NIC by se celosvětově mohlo jednat až o 1,5 milionu a v ČR pak o několik tisíc zranitelných routerů, přičemž část z nich již nejspíš byla i napadena, odhadem nějakých 30%. Způsob provedení skenu a interpretace výsledků je pak popsána zde.

I přes tento poměrně vysoký počet napadených routerů, u kterých bylo útočníkem změněno heslo, je vhodné se podívat ještě na jeden, mnohem zajímavější parameter, a tím je adresa DNS serverů, která byla po úspěšném napadení routeru též změněna, a na kterou pak byly dotazy dále směrovány. Tím bylo zajištěno, že místo na legitimní server byl uživatel směrován na server útočníka.

Zde již byl připraven exploit nebo prostě jen výzva k instalaci Flash playeru. Pokud uživatel tuto výzvu následoval, došlo k zavedení dropperu, který byl připraven stáhnout další malware, a teprve ten mohl způsobit nějakou reálnou škodu. Jen ze změny hesla a DNS by útočník nic neměl.

Je zřejmé, že infikované počítače tvoří jakýsi botnet, který je připraven k pronájmu. Procento obětí, které již utrpěly nějakou přímou finanční škodu, je výrazně nižší, než oněch 30%, protože aby se malware dostal do počítače oběti, nesměl by být detekován antivirem, a tato podmínka ne vždy byla splněna.

Pokud se však malware do počítače dostal, mohl dělat prakticky cokoliv, od šíření SPAMU, zobrazování reklamních sdělení, až po napadení internetového bankovnictví. U posledně jmenovaného vektoru útoku se však zastavme.

Jistě jste zaznamenali, že ve stejnou dobu několik českých bank varovalo před novou vlnou bankovního malwaru a 16. května 2014 pak Česká bankovní asociace vydala zprávu, ve které varuje před lákavými nabídkami práce, kdy se osoba, která tuto nabídku přijme, stává tzv. bílým koněm.

Celkem logicky se proto nabízí otázka, zda to v některých případech nemohly být právě tyto routery, které útočníkům umožnily do počítačů klientů dostat bankovní malware, protože Áté jaksi nic nedělal, takže ten to nejspíš nebyl.

Vzhledem k tomu, že banky využívají dvoufaktorovou autentizaci a autorizaci platby, v mnoha případech zasílají OTP ve formě SMS, znamenalo by to, že bankovní malware musel oběti vyzvat k instalaci aplikace do jejich mobilních telefonů a ti tak evidentně učinili. (Dlouhá je ta cesta od napadení routeru k získání hotovosti, že?)

Závěr: Nový firmware pro daná zařízení k dispozici není a nejspíš vzhledem k ukončené podpoře těchto routerů ani nikdy nebude. No, i kdyby ten firmware byl, tak pochybuji, že by si ho běžný uživatel stáhnul a nainstaloval. Za takové situace je asi jediným možným řešením zakázat administraci routeru z WAN, změnit heslo a nastavit IP adresy DNS serverů vašeho poskytovatele nebo Googlu (8.8.8.8 a 8.8.4.4) a to jak v routeru, tak i v koncových zařízeních.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2014. Jsou napadené Wi-Fi routery zneužívány k šíření bankovního malwaru?. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jsou-napadene-wi-fi-routery-zneuzivany-k-sireni-bankovniho-malwaru/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jsou napadené Wi-Fi routery zneužívány k šíření bankovního malwaru?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: