قراصنة يسيئون استخدام Google Cloud Platform لمهاجمة أجهزة توجيه D-Link
يقوم المتسللون بإساءة استخدام خدمة الحوسبة السحابية من Google لإعادة توجيه واعتراض حركة مرور الويب والبريد على مجموعة من أجهزة توجيه المستهلكين الضعيفة.قال أحد الباحثين إنه شهد إساءة استخدام منصة Google Cloud لتنفيذ ثلاث موجات منفصلة من هجمات اختطاف DNS على مدار الأشهر الثلاثة الماضية التي تستهدف أجهزة التوجيه D-Link و ARGtek و DSLink و Secutech و TOTOLINK. اختطاف DNS هو هجوم يؤدي إلى إعادة توجيه حركة مرور جهاز التوجيه وإرسالها إلى مواقع الويب الضارة.
"لقد نشأت جميع محاولات الاستغلال من مضيفين على شبكة Google Cloud Platform" ، قال Troy Mursch من Bad Packets Report في تقرير الخميس. "في هذه الحملة ، حددنا أربعة خوادم DNS مارقة متميزة تستخدم لإعادة توجيه حركة مرور الويب لأغراض ضارة."
تم إطلاق الموجة الأولى في 29 ديسمبر واستهدفت D-Link DSL-2640B و D-Link DSL-2740R و D-Link DSL-2780B و D-Link DSL-526B ، حيث قاموا بإعادة توجيه حركة المرور الخاصة بهم إلى خادم DNS مارق في كندا. كما استهدفت الموجة الثانية من الهجمات ، التي تم إطلاقها في 6 فبراير ، هذه الأنواع نفسها من أجهزة مودم D-Link كما كانت تقوم بإعادة توجيه حركة المرور إلى خادم DNS في كندا.
استهدفت الموجة الثالثة والأخيرة ، في 26 مارس ، أجهزة توجيه ARG-W4 ADSL ، وأجهزة توجيه DSLink 260E ، وأجهزة التوجيه Secutech ، وأجهزة التوجيه TOTOLINK. أعادت هذه الحملة توجيه حركة المرور إلى خادمين DNS مارقين ، كلاهما مستضاف في روسيا.
قال مورش لـ Threatpost بمجرد أن يبدأ المهاجمون هجومًا ناجحًا لاختطاف نظام أسماء النطاقات ، "يمكنهم استخدام خادم DNS المارق لإعادة توجيه أي / كل حركة مرور الشبكة للجهاز المستهدف الذي يستخدم خدمات DNS لحل مجال إلى عنوان IP". "ينطبق هذا بشكل خاص على حركة مرور الويب ، حيث لا يقوم المستخدمون أبدًا بكتابة عنوان IP مباشرة في متصفح الويب الخاص بهم. نتيجةً لذلك ، يمكن إعادة توجيه المستخدمين بشكل ضار إلى مواقع التصيد أو يتم حقن إعلانات على الصفحات. ويتم يقوم المتسللون بإساءة استخدام خدمة الحوسبة السحابية من Google لإعادة توجيه واعتراض حركة مرور الويب والبريد على مجموعة من أجهزة توجيه المستهلكين الضعيفة.
قال أحد الباحثين إنه شهد إساءة استخدام منصة Google Cloud لتنفيذ ثلاث موجات منفصلة من هجمات اختطاف DNS على مدار الأشهر الثلاثة الماضية التي تستهدف أجهزة التوجيه D-Link و ARGtek و DSLink و Secutech و TOTOLINK. اختطاف DNS هو هجوم يؤدي إلى إعادة توجيه حركة مرور جهاز التوجيه وإرسالها إلى مواقع الويب الضارة.
"لقد نشأت جميع محاولات الاستغلال من مضيفين على شبكة Google Cloud Platform" ، قال Troy Mursch من Bad Packets Report في تقرير الخميس. "في هذه الحملة ، حددنا أربعة خوادم DNS مارقة متميزة تستخدم لإعادة توجيه حركة مرور الويب لأغراض ضارة."
تم إطلاق الموجة الأولى في 29 ديسمبر واستهدفت D-Link DSL-2640B و D-Link DSL-2740R و D-Link DSL-2780B و D-Link DSL-526B ، حيث قاموا بإعادة توجيه حركة المرور الخاصة بهم إلى خادم DNS مارق في كندا. كما استهدفت الموجة الثانية من الهجمات ، التي تم إطلاقها في 6 فبراير ، هذه الأنواع نفسها من أجهزة مودم D-Link كما كانت تقوم بإعادة توجيه حركة المرور إلى خادم DNS في كندا.
استهدفت الموجة الثالثة والأخيرة ، في 26 مارس ، أجهزة توجيه ARG-W4 ADSL ، وأجهزة توجيه DSLink 260E ، وأجهزة التوجيه Secutech ، وأجهزة التوجيه TOTOLINK. أعادت هذه الحملة توجيه حركة المرور إلى خادمين DNS مارقين ، كلاهما مستضاف في روسيا.
قال مورش لـ Threatpost بمجرد أن يبدأ المهاجمون هجومًا ناجحًا لاختطاف نظام أسماء النطاقات ، "يمكنهم استخدام خادم DNS المارق لإعادة توجيه أي / كل حركة مرور الشبكة للجهاز المستهدف الذي يستخدم خدمات DNS لحل مجال إلى عنوان IP". "ينطبق هذا بشكل خاص على حركة مرور الويب ، حيث لا يقوم المستخدمون أبدًا بكتابة عنوان IP مباشرة في متصفح الويب الخاص بهم. نتيجةً لذلك ، يمكن إعادة توجيه المستخدمين بشكل ضار إلى مواقع التصيد أو يتم حقن إعلانات على الصفحات. ويتم هذا الأخير عن طريق الاستيلاء على مجال المنصات الإعلانية المعروفة لإدراج الإعلانات التي تجني الأموال من ممثل التهديد. "
توقع Mursch أن أكثر من 17000 جهاز قد تأثرت.
بينما لم يستطع Mursch سرد عدد أجهزة التوجيه التي تأثرت على وجه التحديد ، قال إن أكثر من 14000 جهاز توجيه D-Link DSL-2640B قد تعرضوا للإنترنت العام ، و 2265 جهاز توجيه TOTOLINK. كما لم يحدد الباحث بالتحديد كيف هاجم الأعداء الموجهات.
ومع ذلك ، أشار إلى أنه في السنوات الماضية ، كانت البرامج الضارة لـ DNSChanger غزيرة ، حيث بلغت 14 مليون دولار في عمليات الاحتيال ذات الصلة بالإعلانات لمجرمي الإنترنت الذين يقفون وراءها. بالإضافة إلى ذلك ، أخبر Mursch Threatpost ، أن معظم CVEs المستخدمة لاستغلال أجهزة توجيه D-Link الضعيفة معروفة بالفعل ، بما في ذلك العديد من عمليات استغلال تغيير DNS عن بُعد.
هجوم اختطاف DNS
أجهزة التوجيه الضعيفة
استخدمت جميع موجات الهجمات المختلفة مضيفات Google Cloud Platform.
وقال مورش لـ Threatpost: "بينما لا يمكننا أن نقول على وجه اليقين أن نفس ممثل التهديد كان وراء لوحة المفاتيح لجميع الحالات ، فمن غير المرجح أن تعرض [Google Cloud Platform] للإيذاء العشوائي عدة مرات لشن هجمات اختطاف DNS". "تجدر الإشارة إلى أن محاولات استغلال نظام أسماء النطاقات الوحيدة التي اكتشفتها مصائد مخترقي الشبكات في الأشهر الثلاثة الأخيرة كانت من مضيفي برنامج" شركاء Google المعتمدون "- لذلك نحن لا نفردهم كمستخدم واحد محدد يتم إساءة معاملته."
استخدم المهاجمون أولاً قدرات الخدمة السحابية من Google للبحث عن أجهزة التوجيه الضعيفة التي يمكن استغلالها. وأشار باحثون آخرون إلى أن مجال وقوف السيارات لا يزال مزدهرًا في كثير من الأحيان مرتبطًا بأنشطة غير مشروعة.
ثم استخدموا منصة Google لتكوين أجهزة التوجيه عن بعد على خوادم DNS الخاصة بهم ، وذلك باستخدام شفرة ضارة.
وقال Mursch إنه من السهل إساءة استخدام هذا النظام الأساسي - أي شخص لديه حساب Google يمكنه الوصول إلى جهاز "Google Cloud Shell" بسهولة ، وهي خدمة تزود المستخدمين بما يعادل Linux VPS [Virtual Private Server] ، مما يمنحهم امتيازات الجذر مباشرة في متصفح الويب.
وقال إن تسهيل الهجمات أيضًا هو أن Google بطيئة في الاستجابة لتقارير إساءة الاستخدام.
"كونه مزود خدمة سحابية كبيرة ، فإن التعامل مع إساءة الاستخدام هو عملية مستمرة لـ Google" ، قال مورش. "على الرغم من منافسيها ، فإن Google تجعل من السهل جدًا على الأوغاد إساءة استخدام نظامهم الأساسي."
قال متحدث باسم Google إن Google قد علقت الحسابات الاحتيالية المعنية وتعمل من خلال بروتوكولات ثابتة لتحديد أي بروتوكولات جديدة تظهر.
"لدينا عمليات معمول بها لاكتشاف وإزالة الحسابات التي تنتهك شروط الخدمة وسياسة الاستخدام المقبول لدينا ، ونتخذ إجراءات بشأن الحسابات عندما نكتشف إساءة الاستخدام ، بما في ذلك تعليق الحسابات المعنية" ، قال المتحدث باسم Google. "تبرز هذه الحوادث أهمية ممارسة النظافة الأمنية الجيدة ، بما في ذلك تصحيح البرامج الثابتة لجهاز التوجيه بمجرد توفر الإصلاح."
تقوم هجمات اختطاف DNS بإعادة توجيه الاستعلامات إلى خادم اسم المجال من خلال تجاوز إعدادات بروتوكول / بروتوكول الإنترنت للتحكم في الإرسال (TCP / IP) للكمبيوتر - بشكل عام عن طريق تعديل إعدادات الخادم. وقال مورش إن هذه الأنواع من الهجمات يمكن أن تساعد الفاعلين السيئين في تنفيذ هجمات متعلقة بالاحتيال أو التصيد.
الهجمات يمكن أن يكون أكثر من الداخل الأخير عن طريق الاستيلاء على مجال المنصات الإعلانية المعروفة لإدراج الإعلانات التي تجني الأموال من ممثل التهديد. "
توقع Mursch أن أكثر من 17000 جهاز قد تأثرت.
بينما لم يستطع Mursch سرد عدد أجهزة التوجيه التي تأثرت على وجه التحديد ، قال إن أكثر من 14000 جهاز توجيه D-Link DSL-2640B قد تعرضوا للإنترنت العام ، و 2265 جهاز توجيه TOTOLINK. كما لم يحدد الباحث بالتحديد كيف هاجم الأعداء الموجهات.
ومع ذلك ، أشار إلى أنه في السنوات الماضية ، كانت البرامج الضارة لـ DNSChanger غزيرة ، حيث بلغت 14 مليون دولار في عمليات الاحتيال ذات الصلة بالإعلانات لمجرمي الإنترنت الذين يقفون وراءها. بالإضافة إلى ذلك ، أخبر Mursch Threatpost ، أن معظم CVEs المستخدمة لاستغلال أجهزة توجيه D-Link الضعيفة معروفة بالفعل ، بما في ذلك العديد من عمليات استغلال تغيير DNS عن بُعد.
هجوم اختطاف DNS
أجهزة التوجيه الضعيفة
استخدمت جميع موجات الهجمات المختلفة مضيفات Google Cloud Platform.
وقال مورش لـ Threatpost: "بينما لا يمكننا أن نقول على وجه اليقين أن نفس ممثل التهديد كان وراء لوحة المفاتيح لجميع الحالات ، فمن غير المرجح أن تعرض [Google Cloud Platform] للإيذاء العشوائي عدة مرات لشن هجمات اختطاف DNS". "تجدر الإشارة إلى أن محاولات استغلال نظام أسماء النطاقات الوحيدة التي اكتشفتها مصائد مخترقي الشبكات في الأشهر الثلاثة الأخيرة كانت من مضيفي برنامج" شركاء Google المعتمدون "- لذلك نحن لا نفردهم كمستخدم واحد محدد يتم إساءة معاملته."
استخدم المهاجمون أولاً قدرات الخدمة السحابية من Google للبحث عن أجهزة التوجيه الضعيفة التي يمكن استغلالها. وأشار باحثون آخرون إلى أن مجال وقوف السيارات لا يزال مزدهرًا في كثير من الأحيان مرتبطًا بأنشطة غير مشروعة.
ثم استخدموا منصة Google لتكوين أجهزة التوجيه عن بعد على خوادم DNS الخاصة بهم ، وذلك باستخدام شفرة ضارة.
وقال Mursch إنه من السهل إساءة استخدام هذا النظام الأساسي - أي شخص لديه حساب Google يمكنه الوصول إلى جهاز "Google Cloud Shell" بسهولة ، وهي خدمة تزود المستخدمين بما يعادل Linux VPS [Virtual Private Server] ، مما يمنحهم امتيازات الجذر مباشرة في متصفح الويب.
وقال إن تسهيل الهجمات أيضًا هو أن Google بطيئة في الاستجابة لتقارير إساءة الاستخدام.
"كونه مزود خدمة سحابية كبيرة ، فإن التعامل مع إساءة الاستخدام هو عملية مستمرة لـ Google" ، قال مورش. "على الرغم من منافسيها ، فإن Google تجعل من السهل جدًا على الأوغاد إساءة استخدام نظامهم الأساسي."
قال متحدث باسم Google إن Google قد علقت الحسابات الاحتيالية المعنية وتعمل من خلال بروتوكولات ثابتة لتحديد أي بروتوكولات جديدة تظهر.
"لدينا عمليات معمول بها لاكتشاف وإزالة الحسابات التي تنتهك شروط الخدمة وسياسة الاستخدام المقبول لدينا ، ونتخذ إجراءات بشأن الحسابات عندما نكتشف إساءة الاستخدام ، بما في ذلك تعليق الحسابات المعنية" ، قال المتحدث باسم Google. "تبرز هذه الحوادث أهمية ممارسة النظافة الأمنية الجيدة ، بما في ذلك تصحيح البرامج الثابتة لجهاز التوجيه بمجرد توفر الإصلاح."
تقوم هجمات اختطاف DNS بإعادة توجيه الاستعلامات إلى خادم اسم المجال من خلال تجاوز إعدادات بروتوكول / بروتوكول الإنترنت للتحكم في الإرسال (TCP / IP) للكمبيوتر - بشكل عام عن طريق تعديل إعدادات الخادم. وقال مورش إن هذه الأنواع من الهجمات يمكن أن تساعد الفاعلين السيئين في تنفيذ هجمات متعلقة بالاحتيال أو التصيد.
الهجمات يمكن أن يكون أكثر من الداخل
ليست هناك تعليقات:
إرسال تعليق