Hacker sử dụng phương pháp CSRF để tấn công SOHO router

Trong thứ hai tuần này, chuyên gia người Pháp Kafeien đã công bố nghiên cứu của mình về một kiểu tấn công lần đầu xuất hiện. Theo đó, trong suốt một tháng qua, những kẻ tấn công đã sử dụng Exploit Kit để tấn công, thay đổi cài đặt DNS của các thiết bị router hộ gia đình và văn phòng, từ đó chuyển hướng người dùng tới các trang của chúng. Chiến dịch tấn công này khiến khoảng một triệu người dùng bị ảnh hưởng, hầu hết là trên trình duyệt Chrome.

Theo Kafeine, những kẻ tấn công đã điều hướng kết nối của những người dùng. Kiểu tấn công này đang trở nên đặc biệt nguy hiểm, đe dọa tới các ngân hàng, các kênh giao dịch và liên lạc. Kafeine đưa nguyên nhân của việc các router bị tấn công như sau: “Đây là hình thức khai thác vào bên trong router. Kiểu tấn công này không còn mới, tuy nhiên, những người sử dụng đôi khi còn gặp rắc rối với việc cập nhật các phần mềm của họ nữa là cập nhật các biện pháp bảo mật cho router.”

Các router SOHO bị tấn công khi download hoặc nhấn phải các quảng cáo độc hại trên các trang web.  Những kẻ tấn công chủ yếu nhắm vào những người dùng Chrome hoặc Chromium có thể do khả năng sử dụng các công cụ hỗ trợ ví dụ như WebRTC-ips để tìm ra những địa chỉ IP cục bộ hoặc công khai. WebRTC có  trên Chrome và Firefox để hỗ trợ kết nối trình duyệt với điện thoại thông qua các API. Từ công cụ này chúng ta có thể gửi yêu cầu đến các server STUN và sau đó nhận được các thông tin về địa chỉ IP. Việc gửi yêu cầu này dễ dàng và không để lại dấu vết nào để người dùng có thể nghi ngờ.

Kafeine đã giải thích trong một bài viết trên trang web của mình anh đã phát hiện ra những dấu vết đầu tiên của cuộc tấn công từ tháng 4 khi nhận được những yêu cầu truy cập giả mạo và có liên quan tới một cuộc tấn công chuyển hướng lưu lượng truy cập. Ban đầu, những phương pháp tấn công còn tương đối đơn giản, tuy nhiên, sau một tháng, nó đã có những sự cải tiến và trở nên nguy hiểm hơn rất nhiều.

Ngoài ra còn có một danh sách các router dễ dàng bị tấn công của những nhà cung cấp phổ biên như D-Link, Belkin, Asus, Linksys, Netgear và những hãng khác. Kafeien đã sử dụng một router của D-Link trong một thử nghiệm và nó đã dễ dàng bị tấn công từ một lỗ hổng bên trong hệ thống điều khiển. “Tôi nghĩ rằng kiểu tấn công rất hiệu quả (hầu hết các router mới trong vòng hai tháng trở lại đây đều không thể ngăn chặn được nó). Sau khi bị tấn công , địa chỉ DNS được đổi từ 185[.]82[.]216[.]86 thành 207[.]12[.]202[.]93 và trong trường hợp IP đầu tiên thất bại, nó sẽ chuyển sang sử dụng Google DNS. Khi nghiên cứu cụ thể hơn, Kafeien đã phát hiện phương thức này đã được đề cập đến trong một báo cáo vào năm 2008 và một báo cáo khác trong năm 2013”

Mối đe đối với những người dùng là hoàn toàn có thực, từ ăn cắp tài chính, lừa đảo, đến tấn công man-in-the-middle và tấn công giả mạo. Điều đó còn phụ thuộc vào mục đích của tin tặc là gì.

Threatpost