Невідоме кіберзлочинне угруповання три місяці зламує домашні маршрутизатори, в основному мова йде про моделі D-Link, змінює налаштування DNS-сервера і перенаправляє трафік на шкідливі web-сайти. Для компрометації пристроїв зловмисники використовують відомі уразливості в прошивці.
За даними фахівців Bad Packets, які відстежують кампанію, список атакованих маршрутизаторів зачіпає моделі D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B, D-Link DSL-526B, ARG-W4 ADSL, DSLink 260E, пристрою Secutech і TOTOLINK. Експерти зафіксували три хвилі атак – у кінці грудня 2018 року, початку лютого 2019 року і в кінці березня. Кампанія все ще активна.
https://twitter.com/bad_packets/status/1112087547050520577?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1112087547050520577&ref_url=https%3A%2F%2Fbadpackets.net%2F
Зловмисники впроваджують IP-адреси шкідливих DNS-серверів і підміняють IP-адреси легітимних сайтів адресами шкідливих ресурсів. На даний момент дослідники виявили тільки чотири адреси – 66.70.173.48, 144.217.191.145, 195.128.126.165 і 195.128.124.131.
⚠️ WARNING ⚠️
Unauthenticated Remote DNS Change Exploit DetectedTarget: D-Link routers (https://t.co/TmYBAAR1T7)
Source IP: 35.240.128.42 (AS15169) 🇺🇸
Rogue DNS server: 144.217.191.145 (AS16276) 🇨🇦 pic.twitter.com/B4uW4kYq1H— Bad Packets by Okta (@bad_packets) February 6, 2019
Фахівці поки не змогли визначити, які саме легітимні сайти підміняють атакуючі, проте вони з’ясували, що більшість DNS-запитів перенаправляється на дві IP-адреси, одна належить болгарському хостинг-провайдеру, який в минулому зв’язувався з шкідливими кампаніями, а друга – сервісу по монетизації паркованих доменів.
https://twitter.com/bad_packets/status/1079251375987425280
Фахівці рекомендують власникам маршрутизаторів оновити прошивку пристроїв, а також перевірити налаштування DNS на предмет змін.
Парковка доменів (domain parking) – реєстрація доменного імені на DNS-серверах надає паркування сервісу без використання домену за прямим призначенням (для створення web-сайтів). Парковка домену дозволяє зарезервувати (зберегти за собою) невикористовуване доменне ім’я його власнику.
До речі, домашні маршрутизатори TP-Link містять небезпечну уразливість, яка надає можливість зловмиснику, який знаходиться в тій же мережі, виконати довільні команди з правами суперкористувача. За словами розробника Google Метью Гарета (Matthew Garrett), проблема зачіпає пристрої моделі TP-Link SR20, але не виключено, що уразливими можуть бути і інші продукти TP-Link.
Як дізнатися, який саме файл і з яким розширенням Ви завантажили з Інтернету? Щоб орієнтуватися в океані файлів з різними дозволами, потрібно зробити їх видимими. Також Windows 10 вважає за краще приховувати від нас деякі приховані системні файли та папки. З цієї статті Ви дізнаєтесь, як зробити їх видимими.
Зверніть увагу, що зараз у Windows 10 є безліч способів продовжити роботу батареї ноутбука, більш ефективно використовувати заряд, вибравши оптимальний режим роботи електроживлення.
Також, щоб позбавити себе від сюрпризів та звільнити місце на жорсткому диску комп’ютера під управлінням Windows 10, слід видалити пробні програми і утиліти, завантажені виробником. Останнім часом у Windows 10 видаляти програми та додатки стало дуже легко.
Окрім цього, Windows 10 дозволяє встановлювати додатки і програми з різних джерел, а з недавніх пір у Windows 10 з’явилася можливість встановити рівень допуску установки програми, як на MacOS.
