Gigantic 100,000-strong botnet used to hijack traffic meant for Brazilian banks

นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS

Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.br เป็นต้น

การทำงานของ GhostDNS ประกอบด้วย 4 โมดูลหลักคือ
1) DNSChanger Module เป็นโมดูลหลักที่ถูกออกแบบมาเพื่อโจมตีเราเตอร์เป้าหมาย โดยในโมดูลนี้จะประกอบไปด้วย 3 โมดูลย่อยซึ่งนักวิจัยเรียกกันว่า Shell DNSChanger, Js DNSChanger, และ PyPhp โมดูลย่อยเหล่านี้ถือเป็นการทำงานที่สำคัญของโมดูล DNSChanger ที่ช่วยให้ผู้โจมตีสามารถสแกนหาหาเราเตอร์ที่มีช่องโหว่ได้สำเร็จ
2) Web Admin module คาดว่าเป็นหน้า Admin Panel สำหรับบริหารจัดการมัลแวร์ของแฮกเกอร์
3) Rogue DNS – ทำหน้าที่ Resolve ชื่อโดเมนเป้าหมายให้วิ่งมายังเซิร์ฟเวอร์ของแฮกเกอร์ ซึ่งส่วนใหญ่เป็นโดเมนที่เกี่ยวข้องกับธนาคารและบริการเว็บโฮสติ้ง
4) Phishing Web – หน้าเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูลที่สำคัญของผู้ใช้งาน

จากรายงานระหว่างวันที่ 21 ถึง 27 กันยายน แคมเปญ GhostDNS ได้เข้าถึงเราเตอร์กว่า 100,000 เครื่อง ซึ่ง 87.8 เปอร์เซ็นต์ของเราเตอร์ (ซึ่งเท่ากับเราเตอร์ 87,800 ตัว) ตั้งอยู่ในประเทศบราซิลซึ่งหมายความว่าบราซิลเป็นเป้าหมายหลักในการโจมตี และมีเราท์เตอร์/เฟิร์มแวร์กว่า 70 ประเภทที่ได้รับผลกระทบจากแคมเปญดังกล่าว

วิธีการป้องกัน
- ตรวจสอบเฟิร์มแวร์ของเราเตอร์ว่าเป็นเวอร์ชั่นล่าสุดหรือไม่
- ตั้งรหัสผ่านที่แข็งแกร่งสำหรับพอร์ทัลเว็บเราเตอร์
- ปิดการใช้งานการดูแลระบบระยะไกล, เปลี่ยน local IP address, และ hardcoding DNS server ลงในเราเตอร์หรือระบบปฏิบัติการ

นอกจากนี้ทาง NetLab ยังแนะนำผู้ผลิตเราเตอร์ให้เพิ่มความซับซ้อนของสำหรับรหัสผ่านเริ่มต้นของเราเตอร์และเพิ่มกลไกการปรับปรุงระบบความปลอดภัยสำหรับผลิตภัณฑ์

ที่มาเพิ่มเติม : https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html

วิธีการป้องกัน
- ตรวจสอบเฟิร์มแวร์ของเราเตอร์ว่าเป็นเวอร์ชั่นล่าสุดหรือไม่
- ตั้งรหัสผ่านที่แข็งแกร่งสำหรับพอร์ทัลเว็บเราเตอร์
- ปิดการใช้งานการดูแลระบบระยะไกล, เปลี่ยน local IP address, และ hardcoding DNS server ลงในเราเตอร์หรือระบบปฏิบัติการ

นอกจากนี้ทาง NetLab ยังแนะนำผู้ผลิตเราเตอร์ให้เพิ่มความซับซ้อนของสำหรับรหัสผ่านเริ่มต้นของเราเตอร์และเพิ่มกลไกการปรับปรุงระบบความปลอดภัยสำหรับผลิตภัณฑ์

ที่มา : zdnet