Бразильские провайдеры подвержены массовой хакерской атаке

Как сообщает Лаборатория Касперского, на протяжении последних нескольких дней ряд бразильских интернет провайдеров был подвержен атакам, направленным на отравление DNS кеша. В результате этих атак, при посещении популярных ресурсов миллионы пользователей перенаправлялись на вредоносные сайты.

Согласно приводимой сотрудниками ЛК статистике, в Бразилии зарегистрировано 73 миллиона подключенных к интернету компьютеров. Каждый из крупных провайдеров насчитывает 3-4 миллиона пользователей. «Если киберпреступник может изменить DNS кеш всего одного сервера, количество потенциальных жертв огромно», - заявил Фабио Ассолини (Fabio Assolini), эксперт Лаборатории Касперского.

Специалисты наблюдали за одной из проведённых атак, в ходе которой, при попытке посещения страницы Google, пользователю было предложено установить приложение Google Defence. В сообщении на сайте говорилось, что Google Defense требуется для нормальной работы операционной системы. На самом деле эта программа содержит вредоносный код, предназначенный для кражи банковских реквизитов.

Исследование IP адреса сервера, с которого выполняется загрузка вредоносного приложения, показало размещение на нем ряда файлов:

• Google_setup.exe
• google_setup.exe
• Google_Setup.exe
• ad2.html
• flash.jar
• FaceBook_Complemento.exe
• ad.html
• AppletX.class
• YouTube_Setup.exe
• FlashPlayer.class
• google2.exe
• crossdomain.xml
• favicon.ico

Один из обнаруженных файлов (ad.html) представляет зашифрованный сценарий, эксплуатирующий известную уязвимость выполнения произвольного кода на старой инсталляции JRE. Задача этого эксплоита, состоит в том, чтобы после компрометации системы запустить загрузку одного из вредоносных приложений.

Помимо атак на домашних пользователей, несколько компаний Бразилии заявили об атаках на их устройства, в ходе которых злоумышленники подключались к маршрутизаторам и модемам корпоративных сетей, изменяя в них настройки DNS.

После успешного проведения подобных атак, при попытке открытия определенных web-страниц, сотрудникам компаний предлагалось загрузить вредоносный Java апплет, осуществляющий кражу банковских реквизитов и, возможно, другую важную информацию.

Злоумышленники могли подключаться к сетевым устройствам, применяя давно известные уязвимости, а также используя другие бреши, например, установленные по умолчанию пароли.

Просмотреть уведомление «Лаборатории Касперского» можно здесь .

После обнаружения инцидентов безопасности, Федеральная полиция Бразилии арестовала 27-летнего сотрудника одного из местных интернет провайдеров. По официальным данным, он обвиняется в участии в преступной схеме, в рамках которой он на протяжении 10 месяцев осуществлял подмену DNS кеша провайдера, отправляя пользователей на фишинговые страницы. По всей видимости, данная схема не связана с массовым отравлением DNS кеша провайдеров Бразилии, но она была раскрыта в виду внимания полиции к данному вопросу.