Kiberjinoyatchilar D-Link routerlaridan trafikni zararli veb-saytlarga yo’naltirmoqdalar.
Qurilmalarni buzish uchun tajovuzkorlar dasturiy ta’minotdagi ma’lum zaifliklardan foydalanadilar.
So’nggi uch oy ichida kiberjinoyatchilar guruhi uy routerlarini (asosan D-Link modellarini) buzib kirish, DNS server sozlamalarini o’zgartirish va trafikni zararli veb-saytlarga yo’naltirish bilan shug’ullangan. Hujumchilar qurilmalarni buzish uchun ma’lum dasturiy ta’minot zaifliklaridan foydalanadilar. Kampaniyani kuzatuvchi Bad Packets guruhining ma’lumotlariga ko’ra, nishonga olingan routerlar orasida D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B, D-Link DSL-526B, ARG-W4 ADSL, DSLink 260E, Secutech va TOTOLINK qurilmalari bor. Mutaxassislar uchta hujum to’lqinini qayd etishdi: 2018-yil dekabr oyi oxirida, 2019-yil fevral oyi boshida va mart oyi oxirida. Kampaniya hali ham faol.
Hujumlar paytida tajovuzkorlar zararli DNS serverlarining IP-manzillarini kiritadilar va qonuniy veb-saytlarning IP-manzillarini zararli resurslarning manzillari bilan almashtiradilar. Tadqiqotchilar hozirgacha faqat to’rtta manzilni aniqladilar: 66.70.173.48, 144.217.191.145, 195.128.126.165 va 195.128.124.131.
Mutaxassislar hali qaysi qonuniy veb-saytlar tajovuzkorlar tomonidan soxtalashtirilayotganini aniqlay olmagan bo’lsalar-da, ular DNS so’rovlarining aksariyati ikkita IP-manzilga yo’naltirilayotganini aniqladilar: biri ilgari zararli kampaniyalar bilan bog’liq bo’lgan Bolgariya xosting provayderiga tegishli, ikkinchisi esa parklangan domenlardan pul ishlab chiqaradigan xizmatga.
Mutaxassislar router egalariga qurilmalarining dasturiy ta’minotini yangilash va DNS sozlamalarida o’zgarishlar bor-yo’qligini tekshirishni tavsiya qiladilar.
Domenni to’xtash – bu domen nomini to’xtash xizmatining DNS serverlarida domendan maqsadli foydalanmasdan (veb-saytlar yaratmasdan) ro’yxatdan o’tkazish. Domenni to’xtash uning egasiga foydalanilmagan domen nomini zaxiralash (saqlash) imkonini beradi.
