Введение
Это описание атаки, которая разворачивается в Бразилии с 2011 года и эксплуатирует 1 уязвимость во встроенном ПО, использует 2 вредоносных скрипта и 40 вредоносных DNS-серверов; которая затронула 6 производителей вычислительной техники и из-за которой миллионы интернет-пользователей в Бразилии стали жертвами длительной, внешне ничем не проявляющей себя массовой атаки на DSL-модемы.
Мы покажем, как киберпреступники эксплуатировали невыявленную уязвимость, воздействуя на тысячи устаревших DSL-модемов по всей стране. В результате под атакой оказались сетевые устройства, принадлежащие миллионам частных и бизнес-пользователей; в течении нескольких месяцев распространялось вредоносное ПО, организовывались вредоносные перенаправления. На руку киберпреступникам играли повальное игнорирование проблемы интернет-провайдерами, ошибки, допущенные производителями «железа», безграмотность пользователей и безразличие к проблеме на официальном уровне.
Если вы полагаете, что вылечить все жертвы зловреда DNS Changer было «задачей не из легких», то оцените масштабы данной проблемы: всего атакой было затронуто 4,5 млн. модемов, и все в прекрасной солнечной Бразилии.
Уязвимость в прошивке
О сетевом оборудовании часто забывают: однажды установив его и настроив, большинство пользователей, как частных, так и корпоративных, не беспокоятся об установке обновлений «прошивки», которые выпускают производители. А между тем, даже самый незначительный сбой может затронуть тысячи пользователей, которых незаметно атакуют и провоцируют на то, чтобы они по незнанию установили вредоносное ПО, или завлекают на фишинговые ресурсы. Как подчеркнула эксперт «Лаборатории Касперского» Марта Янус, DSL-модемы подвергаются атакам разных видов зловредов, обычно создаваемых под Linux, атакам, эксплуатирующим CSRF-уявимости, а также неправильные настройки UPnP и SNMP, и даже сложным drive-by фармингом.
Удивительным образом угрозы такого рода большей частью игнорируются не только пользователями — сообщество специалистов по IT-безопасности тоже не обращает на них большого внимания. Все привыкли к напоминаниям о том, как важно установить патчи к операционной системе, но о необходимости обновлять прошивку DSL-модемов говорят немногие.
В марте 2011 года без особой шумихи была раскрыта уязвимость, обнаружившая ошибку в конкретной модели модема, эксплуатируя которую можно было удалённо подключаться к DSL-модему. Никто не знает, когда именно киберпреступники начали удаленно эксплуатировать эту уязвимость. Благодаря этой уязвимости в панели управления DSL-модема можно выполнять поддельные межсайтовые запросы (Cross Site Request Forgery, CSRF), захватывая установленный на устройстве пароль и производя изменения — обычно настроекDNS-серверов.
Рис. 1. Эксплойт, опубликованный в марте 2011 г. на портале exploit-db.com.
Даже если на вашем устройстве установлен стойкий пароль, эта уязвимость позволяет злоумышленнику получить доступ к панели управления, захватить пароль, зайти на устройство и произвести изменения.
Рис. 2. Панель управления модема с уязвимостью, доступ к которой можно получить удаленно
Судя по всему, проблема касается не конкретной модели или конкретного производителя модемов, а драйвера к набору микросхем, который выполняет основные функции устройства и покупается производителями модемов, а потом используется в пользовательских продуктах. Во всех уязвимых устройствах используется чипсет Broadcom. Этот чипсет используется несколькими производителями, в том числе и в производстве модемов, одобренных Национальным телекоммуникационным агентством Бразилии и продающихся в Бразилии. Что интересно, эта проблема есть не во всех модемах, в которых есть чипсет Broadcom; точных данных о том, какие версии и модели имеют эту уязвимость, нет. Информацию об этом могут предоставить только производители.
Рис. 3. Панель управления взломанного модема, которая позволяет изменять его пароль
Два вредоносных скрипта
Атака была довольно простой. Киберпреступники прочесали интернет в поисках уязвимых модемов, подсоединённых к сети.
Злоумышленники использовали два bash-скрипта, которые выполнялись на выделенном сервере, который был приобретён специально для этой цели. Был выбран диапазон IP-адресов, которые подвергались сканированию и проверялись скриптом. Для каждого найденного модема выполнялась попытка эксплуатации уязвимости.
Рис. 4. Скрипт, использованный для выполнения атак
В случае получения доступа к устройству запускался другой скрипт под названием roda.sh, который также получал доступ к устройству. Уязвимость раскрывает пароль управления модема. Скрипт захватывает пароль, получает доступ к панели управления модема, меняет настройки службы доменных имён (DNS) и меняет пароль, чтобы владелец уже не смог изменить настройки.
Рис. 5. Bash-скрипт, эксплуатирующий CSRF-уязвимость и меняющий настройки DNS
Среди паролей, устанавливаемых злоумышленниками, видим варианты «dn5ch4ng3», «ch4ng3dn5» и другие.
Для автоматизации атаки киберпреступники установили для сканирования широкий диапазон IP-адресов:
Рис. 6. Фрагмент большого списка IP-адресов для сканирования
6 производителей «железа»
Были зафиксированы атаки на DSL-модемы шести производителей. Устройства пяти из этих производителей широко продаются в Бразилии, некоторые модели являются лидерами по продажам.
Ситуация ещё более усугубляется тем, что даже если не говорить об уязвимости, многие модемы поставляются с паролями «по умолчанию», которые известны всем, а пользователи редко меняют их. Бывают и случаи, когда местные интернет-провайдеры разрешают удалённый доступ к модемам, в первую очередь для осуществления техподдержки, и учётные данные для удаленного доступа попадают в руки киберпреступникам.
К тому же, некоторые производители «железа» не предпринимают никаких действий даже после того, как им указывают на существование этих проблем. В результате пользователи остаются незащищёнными от кибератак, в то время как компании не спешат выпускать необходимые обновления к прошивкам оборудования, которые бы решили проблему.
Национальное агентство связи Бразилии имеет полномочия проверять сетевые устройства перед тем, как они одобряются к продаже и использованию местными интернет-провайдерами. Однако такие проверки лишь подтверждают работоспособность устройства и не оценивают меры безопасности. Это позволяет местным интернет-провайдерам предлагать пользователям модели DSL-модемов по своему усмотрению – обычно это старые дешёвые модели с уязвимым встроенным ПО.
Атаки были зафиксированы в сетях всех крупных интернет-провайдеров Бразилии. У крупных интернет-провайдеров абонентская база составляет в среднем 3-4 млн пользователей и известно, что у некоторых провайдеров жертвами этих атак стали около 50% пользователей.
ISP | Абонентская база в 2012 г. |
Oi | 5.3 млн |
Net | 4.8 млн |
Telefonica | 3.7 млн |
GVT | 1.7 млн |
Крупнейшие интернет-провайдеры Бразилии по данным Teleco.com.br
Бездействие производителей модемов, пренебрежение интернет-провайдеров и неосведомленность органов власти – всё вместе это и создало «идеальный шторм», позволив киберпреступникам безнаказанно совершать атаки на пользователей.
40 вредоносных DNS-серверов
Чтобы провести эти атаки, киберпреступники в Бразилии зарегистрировали около 40 вредоносных DNS-серверов на различных хостинг-сервисах. Почти все они были расположены вне пределов Бразилии.
Список 35 вредоносных DNS-серверов. Всего было создано 40 вредоносных DNS-серверов
Мы зафиксировали атаки, в которых менялся только первичный DNS-сервер устройства, в то время как настройки вторичного DNS-сервера у интернет-провайдера оставались неизменными или использовался публичный DNS-сервер Google. Киберпреступники активировали первичный DNS-сервер каждый день только на короткое время, в определенное время.
Таким образом, киберпреступники могли, не вызывая подозрений, контролировать трафик и иметь возможность начать широкомасштабную атаку.
Вредоносный DNS-сервер, однажды установленный на устройствах, направлял пользователей на серверы, на которых запущен BIND с записями типа SOA и A и где были размещены несколько доменов с фальшивыми страницами бразильских банков. Другие мошенники использовали переадресацию для установки вредоносных программ на компьютерах жертв.
Заражено 4,5 млн модемов
В марте 2012 г. бразильская Компьютерная группа реагирования на чрезвычайные ситуации (CERT Brazil) сообщила, что в результате атак было поражено около 4,5 млн. модемов. Эта ситуация побудила банки, интернет-провайдеров, производителей оборудования и госорганы собраться и обсудить пути решения проблемы.
Недостаточно просто констатировать факт использования вредоносных DNS-серверов: затронутыми оказались тысячи пользователей, и они бы просто-напросто завалили звонками колл-центры техподдержки вовлеченных компаний, требуя решения проблемы.
Некоторые производители после этого стали выпускать обновления к прошивкам модемов, в первую очередь к популярным моделям, эти обновления исправили ситуацию. Пользователи стали требовать у интернет-провайдеров обновления прошивки, а банки опубликовали списки вредоносных DNS-серверов. Несмотря на всё это, по состоянию на март 2012 CERT Brazil зафиксировала всего 300 000 всё ещё зараженных модемов.
Основной целью атакующих, как это всегда бывает у бразильских киберпреступников, была кража банковских учетных данных у жертв. Они ни перед чем не остановятся, чтобы достичь этой цели; они будут перенаправлять жертв на поддельные банковские веб-страницы и провоцировать на установку вредоносного ПО, создавая копии популярных сайтов, таких как Google, Facebook и Orkut.
Trend Micro недавно опубликовал блог-пост, в котором они описывают точно такую же атаку, но признают, что у них не хватает некоторых деталей в описании:
«В то время как у нас может быть полная картина этой конкретной атаки, у нас нет понимания как раз той детали, которая заставила нас обратить внимание именно на этот зловред на фоне миллиона других, данные о которых к нам поступают: как он перенаправляет запросы пользователей с легитимных веб-сайтов, таких как Facebook и Google, на свой вредоносный IP-адрес, с которого затем загружается вредоносный код. Мы продолжаем исследование этого инцидента…»
Для полного понимания не хватало знания того, что именно зараженные DSL-модемы и вредоносные DNS-серверы, прописанные на них, перенаправляют пользователей, посещающих популярные веб-сайты, и предлагают установить троянца через URL-ссылки, которые выглядят как легитимные:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
http://www.google.com.br/css5/exploit.jar http://www.google.com.br/css5/XAE.jar http://www.google.com.br/k.jar http://www.google.com.br/Google_setup.exe http://www.baixaki.com.br/css5/exploit.jar http://www.baixaki.com.br/css5/XAE.jar http://www.facebook.com/css5/exploit.jar http://www.facebook.com/FaceBook_Complemento.exe http://www.terra.com.br/css5/exploit.jar http://www.terra.com.br/css5/XAE.jar http://www.ig.com.br/css5/exploit.jar http://www.ig.com.br/css5/XAE.jar http://www.uol.com.br/css5/exploit.jar http://www.uol.com.br/css5/XAE.jar http://www.buscape.com.br/css5/exploit.jar http://www.buscape.com.br/css5/XAE.jar http://www.clicrbs.com.br/css5/exploit.jar http://www.mercadolivre.com.br/css5/exploit.jar http://www.mercadolivre.com.br/css5/XAE.jar |
При посещении популярных сайтов, таких как Facebook, пользователь получает предупреждение, что якобы нужно установить плагин:
Рис. 7. Поведение зараженного модема. Сообщение гласит: «Установите новое приложение Facebook прямо сейчас»
В некоторых атаках использовались недавние Java-эксплойты, с помощью которых жертвы заражались автоматически или через drive-by атаки:
Рис. 8. Google или Orkut просят запустить Java-приложение? На самом деле это действует вредоносный DNS-сервер, установленный в настройках модема
Естественно, распространение этих эксплойтов ограничивалось Бразилией. Например, в мае 2011 года использовался эксплойт Exploit.Java.CVE-2010-4452.a. За первые сутки атаки мы зарегистрировали более 800 зараженных пользователей:
Рис. 9. Число компьютеров, зараженных лишь одним эксплойтом: все находятся в Бразилии
Один из DNS-серверов, использованных в атаке, был принудительно захвачен и исследован официальными лицами. Были обнаружены журналы, в которых киберпреступники записывали количество жертв. В одном из журналов было зафиксировано более 14 000 жертв:
Рис. 10. Один из журналов одного из вредоносных серверов включает записи о 14 000 зараженных машин
Заключение
Что же могут сделать пользователи, чтобы не стать жертвой атак такого рода? Как Марта рекомендовала в своей статье: Пользователям обязательно использовать стойкие пароли, регулярно проверять свои настройки безопасности, обновлять прошивку и прочее соответствующее ПО – в настоящее время это все, что мы действительно можем сделать. Остальное очевидно зависит от производителей – только они могут изменить архитектуру модемов.
Продукты «Лаборатории Касперского» детектируют этот вредоносный скрипт как HackTool.Shell.ChDNS.a.
Сказка тысячи и одного DSL-модема