گروه هکر ربودن DNS را در کمپین وب سایت مخرب خود گنجانده است

محققان یک برنامه اندرویدی مخرب را کشف کرده‌اند که می‌تواند روتر بی‌سیمی را که تلفن آلوده به آن متصل است دستکاری کند و روتر را مجبور کند که همه دستگاه‌های شبکه را به سایت‌های مخرب ارسال کند.

این برنامه مخرب که توسط کسپرسکی یافت شده است، از تکنیکی به نام ربودن DNS (سیستم نام دامنه) استفاده می کند. پس از نصب برنامه، به روتر متصل می‌شود و با استفاده از اعتبارنامه‌های پیش‌فرض یا رایج مانند admin:admin، سعی می‌کند به حساب کاربری خود وارد شود. پس از موفقیت، برنامه سرور DNS را به یک سرور مخرب که توسط مهاجمان کنترل می شود تغییر می دهد. از آن به بعد، دستگاه‌های موجود در شبکه را می‌توان به سمت سایت‌هایی که سایت‌های قانونی را تقلید می‌کنند، اما بدافزارها را منتشر می‌کنند یا اعتبارنامه‌های کاربر یا سایر اطلاعات حساس را ثبت می‌کنند، هدایت کرد.

قابلیت انتشار گسترده دارد

محققان کسپرسکی نوشتند: «ما معتقدیم که کشف این پیاده‌سازی جدید تغییر دهنده DNS از نظر امنیت بسیار مهم است. مهاجم می‌تواند از آن برای مدیریت تمام ارتباطات دستگاه‌هایی که از یک روتر Wi-Fi آسیب‌دیده با تنظیمات DNS سرکش استفاده می‌کنند استفاده کند.»

محققان ادامه دادند: «کاربران دستگاه‌های اندرویدی آلوده را به وای‌فای رایگان/عمومی در مکان‌هایی مانند کافه‌ها، بارها، کتابخانه‌ها، هتل‌ها، مراکز خرید و فرودگاه‌ها متصل می‌کنند. هنگامی که به یک مدل هدفمند وای فای با تنظیمات آسیب پذیر متصل می شوید، بدافزار اندرویدی روتر را به خطر می اندازد و دستگاه های دیگر را نیز تحت تأثیر قرار می دهد. در نتیجه، می تواند به طور گسترده در مناطق مورد نظر گسترش یابد.»

DNS مکانیزمی است که نام دامنه ای مانند ArsTechnica.com را با 18.188.231.255 مطابقت می دهد، آدرس IP عددی که سایت در آن میزبانی می شود. جستجوهای DNS توسط سرورهایی انجام می شود که توسط ISP کاربر یا خدمات شرکت هایی مانند Cloudflare یا Google اداره می شوند. با تغییر آدرس سرور DNS در پانل مدیریتی روتر از یک آدرس قانونی به یک مخرب، مهاجمان می‌توانند باعث شوند همه دستگاه‌های متصل به روتر جستجوهای دامنه مخربی را دریافت کنند که منجر به سایت‌های مشابه مورد استفاده برای جرایم سایبری می‌شود.

برنامه اندروید با نام Wroba.o شناخته می شود و سال ها در کشورهای مختلف از جمله ایالات متحده، فرانسه، ژاپن، آلمان، تایوان و ترکیه استفاده می شود. عجیب است که تکنیک ربودن DNS که بدافزار قادر به انجام آن است تقریباً به طور انحصاری در کره جنوبی استفاده می شود. از سال 2019 تا بیشتر سال 2022، مهاجمان اهدافی را به سمت سایت‌های مخرب فریب دادند که از طریق پیام‌های متنی ارسال می‌شدند، تکنیکی به نام smishing. در اواخر سال گذشته، مهاجمان ربودن DNS را در فعالیت‌های خود در آن کشور آسیایی وارد کردند.

مهاجمان که در صنعت امنیتی با نام Roaming Mantis شناخته می‌شوند، ربودن DNS را طوری طراحی کردند که تنها زمانی کار کند که دستگاه‌ها از نسخه تلفن همراه یک وب‌سایت جعلی بازدید می‌کنند و به احتمال زیاد اطمینان حاصل می‌کنند که کمپین شناسایی نمی‌شود.

در حالی که تهدید جدی است، یک نقص عمده دارد – HTTPS. گواهینامه های امنیت لایه حمل و نقل (TLS) که به عنوان زیربنای HTTPS عمل می کنند، یک نام دامنه مانند ArsTechnica.com را به یک کلید رمزگذاری خصوصی که فقط برای اپراتور سایت شناخته شده است، متصل می کند. افرادی که با استفاده از یک مرورگر مدرن به سایت مخربی هدایت می‌شوند که به عنوان Ars Technica ظاهر می‌شود، اخطارهایی مبنی بر ایمن نبودن اتصال دریافت می‌کنند یا از آنها خواسته می‌شود گواهی امضا شده خود را تأیید کنند، رویه‌ای که کاربران هرگز نباید از آن پیروی کنند.

راه دیگر برای مبارزه با این تهدید، اطمینان از تغییر رمز عبوری است که از حساب مدیریتی روتر محافظت می کند از رمز عبور پیش فرض به یک رمز عبور قوی تغییر می کند.

با این حال، همه از چنین بهترین شیوه‌ها آگاه نیستند، که آنها را برای بازدید از یک سایت مخرب باز می‌گذارد که تقریباً مشابه سایت قانونی است که قصد دسترسی به آن را داشتند.

در گزارش روز پنجشنبه آمده است: «کاربران دارای دستگاه‌های اندرویدی آلوده که به شبکه‌های وای‌فای رایگان یا عمومی متصل می‌شوند، در صورت آسیب‌پذیر بودن شبکه وای‌فای که به آن متصل هستند، ممکن است بدافزار را به سایر دستگاه‌های موجود در شبکه گسترش دهند.» کارشناسان کسپرسکی نگران پتانسیل تغییر دهنده DNS برای هدف قرار دادن مناطق دیگر و ایجاد مشکلات مهم هستند.