Hackere hijacker 300.000 trådløse routere

4. marts 2014 kl. 08:407
Hackere hijacker 300.000 trådløse routere
Illustration: Cisco.com.
Hackere kaprer routere og ændrer DNS-indstillingerne. Det kan give hackere adgang til brugernes netbank.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efterforskere har opdaget endnu et masseangreb på routere typisk brugt i private hjem eller på mindre kontorer. Det skriver Ars Technica.

Mindst 300.000 routere er ramt af angrebene, og det drejer sig om routere fra producenterne D-Link, Micronet, Tenda, TP-Link samt flere.

Hackere overtager styringen af routerne og bruger den til at ændre på DNS-indstillingerne. Det betyder, at hackerne kan sende brugerne ud på websites, der ligner og opfører sig som en webbank, men i virkeligheden stjæler det falske website brugerens log in-oplysninger.

Indtil videre er det hovedsageligt landene Vietnam, Indien, Italien, Thailand og Colombia, som er ramt af angrebene. Det sker kun få uger efter, at efterforskere opdagede et andet masseangreb mod routere, hvor en orm ramte flere tusinde Linksys- routere, og et sikkerhedshul i Asus-routere blev udnyttet til at skaffe sig adgang til harddiske forbundet til routerne.

Artiklen fortsætter efter annoncen

»Angrebets størrelse tyder på, at der er tale om traditionel it-kriminalitet som for eksempel redirigering af søgeresultater, kapring af reklamepladser eller installering af drive by-downloads; alt sammen kriminalitet, som kræver et storstilet angreb for at være profitabelt,« skriver efterforskerne i deres rapport.

Du kan selv undersøge, om din router er offer for angrebet ved at undersøge DNS-indstillingerne. Hvis de er ændret til 5.45.75.11 og 5.45.76.36, er din router blevet kompromitteret.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
5. marts 2014 kl. 09:05

Det her er nemt at bekæmpe via ISP'erne. Med alvorlige konsekvenser for internetfriheden desværre.

En ISP blokerer blot for DNS opslag til andre end ISP'ens egne DNS servere.

Dette har så den konsekvens at pludseligt kan man ikke længere bruge frie og ucensurerede DNS servere, og ellers demokratiske og frie stater har fået spillet et redskab i hænde som kan bruges til øget censur.

I øvrigt, så bør ISP'erne dog blokere for de IP'er der er nævnt her. Telefonselskaberne er for længst begyndt at blokere for kendte telefonnumre der benyttes til fraud. Ved en sådan blokering vil hackerne hurtigt sætte nye IP'er ind, men kunderne vil hurtigt opdage at der er noget galt, fordi deres internet ikke virker.

Men hvis det er muligt at pille ved DNS, hvorfor så ikke omdirigere f.eks. 8.8.8.8 eller danske banks IP til en snyde server. Det kræver lidt mere af routeren, men hvorfor ikke? Hvornår begynder de at skifte firmwaren ud i routerne?

5
5. marts 2014 kl. 00:54

En anden adresse som din router osse kan kører med som DNS hvis du er inficeret er: 95.211.156.101

Der er et vist sammenfald af ting mellem de to steder (i Holland og UK), som gør at jeg tror vi har at gøre med NSA eller en anden større forbryderbande.

Husk at hvis du sidder på en inficeret router og kører med automatisk opsætning af ip-adresser mm. (DHCP) (det gør ALLE) ,kan du ikke føle dig sikker selvom du kører Linux.

2
4. marts 2014 kl. 12:28

Hvis du går ind i din netbank eller andet sted hvor du bruger NemID, så skal du ikke bare klikke OK, hvis din browser kommer op og siger at der er en certifikat-fejl. Er der certifikat-fejl, er der noget galt, og enten venter man til at den ikke er der mere, eller ringer til NemID og får at vide at det er dem der klokket i det. Alternativt er det din router der er blevet hacket, for der ville certifikat-fejl kunne ses.

mEn det kan osgå bare være NemId igen Udløbet NemID-certifikat forvirrer brugere.

3
4. marts 2014 kl. 20:35

Hvis du går ind i din netbank eller andet sted hvor du bruger NemID, så skal du ikke bare klikke OK, hvis din browser kommer op og siger at der er en certifikat-fejl.

Hvis du går ind på din netbank og du i virkligheden går ind på en kopi af din netbank, så vil det ikke være en ægte java-applet som loader. Du vil derfor ikke få en certifikat-fejl.

DNS highjacking er ikke en ny metode og den er gennemprøvet af de kriminelle.

Mit råd til folk er altid, at skrive noget volapyk, hvis de får den mindste mistanke om at der er noget galt. Kommer man videre efter man har skrevet noget tilfældigt, så er der noget galt. Men man kan ikke læne dig op af, at der vil være fejl-beskeder fra certifikater eller lignende.

4
4. marts 2014 kl. 23:41

Hvis din router først er inficeret, og hackeren snupper et par af dine passwords ved at logge trafikken (du bruger selvfølgelig ikke det samme password andre steder, vel? Nå ikke? :P), så er det en smal sag at installere et self signed root certifikat som java glædeligt æder. Eller bare skrue dine java sikkerheds indstillinger i bund. Eller bare lave en form der ligner nemid men slet ikke kører java.

1
4. marts 2014 kl. 08:55

I kombination med Apples SSL fejl giver dette angreb fri adgang til brugernes internettrafik og er stort set umuligt at opdage for den almindelige bruger...