هجوم واسع النطاق يمسك جهاز التوجيه الخاص بك من خلال متصفحك

طور مجرمو الإنترنت أداة هجوم قائمة على الويب لاختطاف أجهزة التوجيه على نطاق واسع عند زيارة المستخدمين لمواقع الويب المخترقة أو عرض إعلانات ضارة في متصفحاتهم.

الهدف من هذه الهجمات هو استبدال DNS (نظام اسم النطاق ) خوادم تم تكوينها على أجهزة التوجيه مع أجهزة مارقة يسيطر عليها المهاجمون. يسمح ذلك للمتطفلين باعتراض حركة المرور ، أو محاكاة مواقع الويب ، أو استعلامات بحث الاستيلاء ، أو ضخ الإعلانات المارقة على صفحات الويب وأكثر من ذلك.

يشبه نظام أسماء النطاقات دليل الهاتف الخاص بالإنترنت ويلعب دوراً حاسماً. إنه يترجم أسماء النطاقات ، التي يسهل على الناس تذكرها ، في عناوين IP (بروتوكول الإنترنت) الرقمية التي تحتاج أجهزة الكمبيوتر إلى معرفتها للتواصل مع بعضها البعض.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

يعمل DNS بطريقة هرمية. عندما يكتب مستخدم اسم موقع ويب في متصفح ، يطلب المتصفح نظام التشغيل لعنوان IP الخاص بهذا الموقع. ثم يسأل نظام التشغيل جهاز التوجيه المحلي ، الذي يستعلم حينئذٍ عن خوادم DNS التي تم تكوينها على خوادمها النموذجية التي يديرها مزود خدمة الإنترنت. تستمر السلسلة حتى يصل الطلب إلى الخادم الموثوق لاسم المجال المعني أو إلى أن يقدم الخادم تلك المعلومات من ذاكرة التخزين المؤقت الخاصة به.

إذا قام المهاجمون بإدخال أنفسهم في هذه العملية في أي مرحلة ، يمكنهم الرد باستخدام عنوان IP خادع. سيخدع هذا المتصفح للبحث عن موقع الويب على خادم آخر ؛ على سبيل المثال ، يمكن أن تستضيف نسخة مزيفة مصممة لسرقة بيانات اعتماد المستخدم.

باحثة أمنية مستقلة تعرف على الإنترنت باسم Kafeine لاحظت في الآونة الأخيرة هجمات متحرّكة تم إطلاقها من مواقع الويب المخترقة التي أعادت توجيه المستخدمين إلى مجموعة استغلال غير عادية على شبكة الإنترنت التي تم تصميمها خصيصًا لتهديد أجهزة التوجيه.

الغالبية العظمى من مجموعات أدوات الاستغلال التي يتم بيعها في الأسواق تحت الأرض والتي يستخدمها المجرمون الإلكترونيون تستهدف نقاط الضعف في المكونات الإضافية للمتصفح التي عفا عليها الزمن مثل Flash Player أو Java أو Adobe Reader أو Silverlight. هدفهم هو تثبيت برامج ضارة على أجهزة الكمبيوتر التي لا تحتوي على أحدث التصحيحات للبرامج الشائعة.

تعمل الهجمات عادةً على النحو التالي: الشفرة الضارة التي يتم إدخالها إلى مواقع الويب المخترقة أو المضمنة في الإعلانات المارقة تُعد تلقائيًا إعادة توجيه متصفحات المستخدمين إلى خادم الهجوم يحدد نظام التشغيل وعنوان IP والموقع الجغرافي ونوع المتصفح والمكونات الإضافية المثبتة وغيرها من التفاصيل الفنية. وبناءً على هذه السمات ، يقوم الخادم بعد ذلك باختيار وإطلاق المآثر من ترسانته التي من المرجح أن تنجح.

كانت الهجمات التي لاحظها الكافيين مختلفة. تمت إعادة توجيه مستخدمي Google Chrome إلى خادم ضار يحتوي على تعليمات برمجية تم تصميمها لتحديد نماذج الموجهات التي يستخدمها هؤلاء المستخدمون واستبدال خوادم DNS التي تم تكوينها على الأجهزة.

يفترض العديد من المستخدمين أنه في حالة عدم إعداد أجهزة التوجيه الخاصة بهم للإدارة عن بُعد ، لا يستطيع المتسللون استغلال نقاط الضعف في واجهات الإدارة المستندة إلى الويب من الإنترنت ، لأن مثل هذه الواجهات لا يمكن الوصول إليها إلا من داخل الشبكات المحلية.

هذا غير صحيح. يمكن تحقيق مثل هذه الهجمات من خلال تقنية تسمى التزوير عبر الموقع (CSRF) والتي تسمح لموقع ويب ضار بإجبار متصفح المستخدم على تنفيذ إجراءات مارقة على موقع ويب مختلف. يمكن أن يكون موقع الويب المستهدف واجهة إدارة للموجه يمكن الوصول إليها عبر الشبكة المحلية فقط.

لقد نفذت العديد من المواقع على الإنترنت دفاعات ضد CSRF ، ولكن أجهزة التوجيه بشكل عام تفتقر إلى هذه الحماية.

مجموعة أدوات الاستغلال الجديدة التي تم العثور عليها بواسطة محرك الأقراص تستخدم شركة Kafeine CSRF لاكتشاف أكثر من 40 طرازًا من أجهزة التوجيه ، بما في ذلك Asustek Computer و Belkin و D-Link و Edimax Technology و Linksys و Medialink و Microsoft و Netgear و Shenzhen Tenda Technology و TP-Link Technologies و Netis Systems و Trendnet و ZyXEL Communications و HooToo.

ووفقًا للنموذج الذي تم اكتشافه ، تحاول أداة الهجوم تغيير إعدادات DNS الخاصة بالموجه من خلال استغلال الثغرات الأمنية المعروفة لحقن الأوامر أو باستخدام بيانات اعتماد إدارية شائعة. ويستخدم ذلك CSRF لهذا أيضًا.

إذا كان الهجوم ناجحًا ، فسيتم تعيين خادم DNS الأساسي لجهاز التوجيه على خادم واحد يتم التحكم فيه بواسطة المهاجمين ويتم تعيين الخادم الثانوي ، الذي يتم استخدامه كفشل ، إلى خادم DNS العام في Google. وبهذه الطريقة ، إذا كان الخادم الخبيث ينخفض ​​مؤقتًا ، فسيظل جهاز التوجيه مزودًا بملقم DNS يعمل بشكل كامل لحل الاستعلامات ، ولن يكون لدى مالكه أي سبب للشك وإعادة تكوين الجهاز.

وفقًا لكافين ، أحد نقاط الضعف التي يتم استغلالها من قبل هذا الهجوم تؤثر على أجهزة التوجيه من بائعين متعددين وتم الكشف عنها في فبراير. قام بعض البائعين بإصدار تحديثات للبرامج الثابتة ، ولكن عدد أجهزة التوجيه التي تم تحديثها خلال الأشهر القليلة الماضية ربما يكون منخفضًا للغاية ، على حد قول كافيين.

تحتاج الغالبية العظمى من أجهزة التوجيه إلى التحديث يدويًا من خلال عملية تتطلب بعض المهارات الفنية. هذا هو السبب في أن العديد منهم لم يتم تحديثهم من قبل أصحابها.

المهاجمون يعرفون هذا أيضًا. في الواقع ، بعض نقاط الضعف الأخرى التي استهدفتها هذه المجموعة الاستغلالية تشمل واحدة من عام 2008 وواحد من عام 2013.

يبدو أن الهجوم قد تم تنفيذه على نطاق واسع. وفقا لكافين ، خلال الأسبوع الأول من شهر مايو ، قام خادم الهجوم بحشد ما يقرب من 250.000 زائر فريد في اليوم ، مع زيادة في عدد الزوار إلى حوالي مليون زائر في 9 مايو. وكانت الدول الأكثر تأثراً هي الولايات المتحدة وروسيا وأستراليا والبرازيل والهند ، ولكن كان توزيع الحركة عالميًا إلى حد ما.

لحماية أنفسهم ، يجب على المستخدمين التحقق من مواقع الشركات المصنعة دوريًا لتحديثات البرامج الثابتة لطرازات الموجهات الخاصة بهم ، ويجب تثبيتها ، خاصة إذا كانت تحتوي على إصلاحات أمان. إذا كان جهاز التوجيه يسمح بذلك ، فيجب عليهم أيضًا تقييد الوصول إلى واجهة الإدارة إلى عنوان IP لا يستخدمه أي جهاز عادةً ، ولكن يمكنهم تعيينه يدويًا إلى أجهزة الكمبيوتر الخاصة بهم عندما يحتاجون إلى إجراء تغييرات على إعدادات الموجّه.