Proteção de Dados – Três ondas de ataques de sequestro de DNS, contra roteadores de consumidores, foram vinculadas ao abuso da plataforma Google Cloud.
Os hackers vêm abusando do serviço de computação em nuvem do Google para redirecionar e interceptar o tráfego da Web e de e-mails em uma série de roteadores de consumidores vulneráveis.
Um pesquisador disse que viu o Google Cloud sendo abusado para realizar três ataques separados de ataques de sequestro de DNS, nos últimos três meses, direcionados aos roteadores D-Link, ARGtek, DSLink, Secutech e TOTOLINK.
O sequestro de DNS é um ataque que faz com que o tráfego do roteador seja redirecionado e enviado para sites maliciosos.
“Todas as tentativas de exploração se originaram de sevidores na rede do Google Cloud“, disse Troy Mursch em um relatório divulgado em 5 de Abril deste ano. “Nesta campanha, identificamos quatro servidores DNS falsos distintos sendo usados para redirecionar o tráfego da Web para fins maliciosos“.
A primeira onda foi lançada em 29 de dezembro de 2018 e tinha como alvo o DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B e D-Link DSL-526B, redirecionando o tráfego para um servidor DNS desonesto no Canadá.
A segunda onda de ataques, lançada em 6 de fevereiro de 2019, também teve como alvo esses mesmos tipos de modems da D-Link e também estava redirecionando o tráfego para um servidor DNS no Canadá.
A terceira e última onda, em 26 de março de 2019, visava roteadores ADSL ARG-W4, roteadores DSLink 260E, roteadores Secutech e TOTOLINK. Esta campanha redirecionou o tráfego para dois servidores DNS maliciosos, ambos hospedados na Rússia.
Uma vez que os atacantes lançaram um sequestro de DNS bem-sucedido, “eles podem usar um servidor DNS malicioso para redirecionar qualquer tráfego de rede do dispositivo alvo, que usa serviços DNS para resolver um domínio para um endereço IP”, disse Mursch. “Isso é especialmente aplicável ao tráfego da web, já que os usuários normalmente nunca digitam um endereço IP diretamente em seu navegador da web. Devido a isso, os usuários podem ser redirecionados maliciosamente para sites de phishing ou ter anúncios injetados nas páginas. O último é feito sequestrando o domínio de plataformas de publicidade conhecidas para inserir anúncios que geram dinheiro para o agente de ameaças”.
Mursch previu que mais de 17.000 dispositivos podem ter sido afetados.
Embora Mursch não pudesse listar quantos roteadores foram especificamente afetados, ele disse que mais de 14.000 roteadores D-Link DSL-2640B foram expostos à Internet pública e 2.265 roteadores TOTOLINK. O pesquisador também não especificou especificamente como os adversários atacaram os roteadores.
No entanto, ele apontou que, nos últimos anos, o malware DNSChanger foi prolífico, arrecadando 14 milhões de dólares em fraudes relacionadas a publicidade para os criminosos cibernéticos. Além disso, Mursch disse que a maioria dos CVEs usados para explorar roteadores vulneráveis da D-Link já são bem conhecidos, incluindo várias explorações remotas do DNS Change.
As várias ondas de ataques usaram os hosts do Google Cloud.
“Embora não possamos dizer com certeza que a mesma ameaça estava por trás do teclado, em todos os casos, é altamente improvável que o [Google Cloud] tenha sido abusado aleatoriamente várias vezes, ao conduzir ataques de sequestro de DNS“, disse Mursch.
Os invasores usaram pela primeira vez os recursos do serviço de nuvem do Google para procurar roteadores vulneráveis que pudessem ser explorados. Outros pesquisadores observaram que o estacionamento de domínios continua sendo um negócio em expansão, muitas vezes ligado a atividades ilícitas.
Eles então usaram a plataforma do Google para configurar remotamente os roteadores em seus próprios servidores DNS, usando códigos maliciosos.
É fácil abusar desta plataforma, disse Mursch – qualquer pessoa com uma conta do Google pode acessar facilmente uma máquina “Google Cloud Shell”, um serviço que fornece aos usuários o equivalente a um VPS [Virtual Private Server] do Linux, fornecendo privilégios de root diretamente em um navegador da web.
Também facilitando os ataques é o fato de que o Google está lento para responder a denúncias de abuso, ele disse.
“Ser um grande provedor de serviços em nuvem, lidar com abuso é um processo contínuo para o Google”, disse Mursch. “No entanto, ao contrário de seus concorrentes, o Google torna muito fácil para os trapaceiros abusarem de sua plataforma.“
Um porta-voz do Google disse que o Google suspendeu as contas fraudulentas em questão e está trabalhando através de protocolos estabelecidos para identificar quaisquer novos que surjam.
“Temos processos em vigor para detectar e remover contas que violam nossos termos de serviço e política de uso aceitável, e agimos em contas quando detectamos abuso, incluindo a suspensão das contas em questão“, disse o porta-voz do Google. “Esses incidentes destacam a importância de se praticar uma boa higiene de segurança, incluindo a correção do firmware do roteador quando uma correção estiver disponível”.
Os ataques de desvio de DNS redirecionam as consultas para um servidor de nomes de domínio, substituindo as configurações de um protocolo de controle de transmissão / protocolo de Internet (TCP / IP) do computador, geralmente modificando as configurações de um servidor. Esses tipos de ataques podem ajudar os malfeitores a realizar fraudes relacionadas à publicidade ou ataques de phishing, disse Mursch.
Os ataques também poderiam ter finalidades mais insidiosas. Em janeiro de 2019, uma série de ataques direcionados a vários domínios governamentais levaram o Departamento de Segurança Interna a emitir uma diretiva de emergência ordenando que todas as agências federais auditem com urgência a segurança do DNS (Sistema de Nomes de Domínio) para seus domínios.
Mursch, por sua vez, enfatizou que os consumidores mantêm o firmware do seu roteador doméstico atualizado para evitar explorações.
“Quando as vulnerabilidades de segurança são descobertas, geralmente são corrigidas pelo fabricante para mitigar novos ataques”, disse ele. “Também é aconselhável rever as configurações de DNS do seu roteador para garantir que elas não tenham sido adulteradas“.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Proteção de Dados – Como o GDPR afeta as políticas de cookies do seu site.
- Proteção de Dados – As ameaças internas de perda de dados são hoje uma das grandes preocupações das pequenas empresas.
- Proteção de Dados – Zero-Day no cliente Counter-Strike é usado para construir Botnet.
- Blog Netranet Networking | Proteção de Dados – Falha de segurança do MongoDB vaza 808 milhões de registros.
- Proteção de Dados – 6 ferramentas de gerenciamento da segurança da informação em conformidade com o GDPR.