Bő két éve egyszer már volt belőle botrány, amikor kiderült, hogy brazil végfelhasználók jellemzően otthon használt routereit támadás érte. Bár a támadás – mint azt összefoglalójában a Biztonságportál is írta – megmaradt brazil problémának, arra rávilágított, hogy ilyen támadás bárhol és bármikor bekövetkezhet. És valóban: világszerte megszaporodtak az otthoni routerek sebezhetőségét kihasználó támadások.

Ismét Brazília a forrás

A múlt héten egy olyan támadásra figyeltek fel Sucuri biztonsági cég és a Kaspersky Lab kutatói, ami mindkét amerikai kontinenst sújtotta. A nagyszabású támadássorozatra ismét Brazíliából indult, de gyorsan átterjedt az Egyesült Államokra, Kínára, Kanadára és Mexikóra is.

Ez a támadássorozat ráadásul sokkal rafináltabb, mint a két évvel ezelőtti volt, ugyanis bizonyos esetekben a felhasználó közreműködése nélkül, teljesen észrevétlenül tudták végrehajtani. A támadók az akcióikat kéretlen levelek küldözgetésével kezdik, amelyek egyebek mellett felnőtteknek szóló tartalmakkal kecsegtető weboldalak megtekintésére buzdítják a címzetteket. Ha a címzett rákattint az e-mailekben lévő hivatkozásra, akkor egy olyan weboldalra jut, amely a háttérben önálló életre kell.

Lefut egy sor script, amelyek célja, hogy a hálózatban lévő router DNS beállításait manipulálják. Ha ez megtörténik, akkor a csalók webes átirányításokat hajthatnak végre, illetve DNS-alapú károkozásokat kezdeményezhetnek.

A scriptek egyszerűek, és nem is minden routernél működnek. Csak akkor képesek károkozásra, ha az adott hálózatban az útválasztó adminisztrációs felületéhez tartozó felhasználónév és jelszó páros az alábbiak egyike: admin/admin, admin/velox, root/root és admin/gvt12345. Ez utóbbi alapértelmezett felhasználó/jelszó párost az egyik nagy brazil szolgáltató használja.

Ha ez nem működne...

A scripteket azonban arra is felkészítették, ha a felhasználó már módosította az alapértelmezett azonosítást. Ekkor megjelenik egy ablak a böngészőben, amely kéri a felhasználótól a hitelesítési adatait. Ha a felhasználó megadja, a scriptek újra, immár sikeresen lefuthatnak, már ha velük kompatibilis az útválasztó.

A Sucuri szakértői által megvizsgált esetekben speciálisan összeállított hivatkozásokat tartalmazó iFrame kódrészletek is szerephez jutottak, melyekkel külső tartalmakat lehet weboldalakba bejuttatni. Ráadásul ezeket az iFrame-eket teljesen legális, de manipulált oldalakon, például egy hírportálon is megtalálták már.

Ha a támadás sikeres, a támadók gyakorlatilag a felhasználó teljes forgalmát át tudják irányítani tetszőleges szerverekre, például hamis weboldalakra. A veszély nagy, pedig a védekezés egyszerű: meg kell változtatni a routerek alapértelmezett bejelentkezési adatait, amiket csak akkor kell megadni, ha valóban a router beállításait akarjuk módosítani.