4,5 millioner bredbåndsrutere er kapret via en sårbarhet i utdatert firmware. Den avbildede ruteren fra Comtrend skal bare være en av flere som er berørt. (Bilde: digi.no)

Masseangrep mot rutere

Flere millioner kapret i sofistikert angrep.

Du trodde kanskje du var trygg hvis du holdt programvaren og operativsystemet din oppdatert, brukte antivirus og holdt deg med gode passordrutiner og en skikkelig brannmur?

Denne historien bør tjene som en vekker for de som måtte tro at sofistikerte nettangrep bare truer datamaskinen din.

Mange millioner bredbåndsrutere ble i fjor kapret fra intetanende brasilianske internettkunder.

Først nå bringer eksperter fra Kaspersky Labs detaljer om det oppsiktsvekkende og vedvarende angrepet, som ingen riktig vet når begynte.

Angrepet retter seg mot utdatert systemvare (firmware) og utnytter en sårbarhet i rutere fra flere ulike produsenter. En uttømmende liste er ikke publisert, men dette skal i hvert fall gjelde CT-5367-ruteren (pdf) fra Comtrend.

Problemet skal ikke være knyttet til en bestemt modell eller leverandør, men felles for alle berørte rutere er at de har samme brikkesett fra Broadcom, opplyser Kaspersky.

Ved hjelp av et par enkle script skal kriminelle ha byttet navnetjener (DNS) i ruter-konfigurasjonen. Passordet ble også endret, slik at kundene ble låst ute fra utstyret.

40 ondsinnede DNS-servere skal ha blitt opprettet til formålet, som var å kontrollere ofrenes nettrafikk og føre dem til falske nettbanker.

- Vi registrerte kun angrep der den primære DNS-serveren ble endret. Fordi den sekundære DNS-serveren pekte til nettleverandør eller Googles offentlige DNS-server – kunne de kriminelle aktivere de falske serverne ved bestemte tider uten å vekke mistanke, forklarer Kaspersky.

Andre kriminelle skal ha utnyttet situasjonen til å eksponere ofrene for skadevare, plantet på kopier av populære nettsteder som Google og Facebook.

4,5 millioner

Ifølge Kaspersky kunngjorde det nasjonale kybersikkerhetsorganet Cert Brazil (Computer Emergency Response Team) at så mange som 4,5 millioner bredbåndsrutere var kapret på denne måten i mars 2012. Det antas at 300.000 rutere fremdeles er kompromittert.

Alle større internettoperatører i Brasil har kunder som ble kapret. Hos enkelte av dem ble halvparten av abonnentenes rutere hacket, skriver Kaspersky-ekspert Fabio Assolini i et blogginnlegg.

- Det er vanlig å se oppfordringer om viktigheten av å installere sikkerhetsoppdateringer til operativsystem, men påfallende få som snakker om behovet av å oppdatere bredbåndsruteren, påpeker sikkerhetsselskapet.

Kunne skjedd i Norge

Sårbare bredbåndsrutere er ikke et ukjent fenomen. Angrepet slik det er beskrevet av Kaspersky Labs kunne like godt skjedd her i Norge.

I februar 2011 skrev digi.no om hvordan bredbåndsruterne til Nextgentel lå åpne for misbruk, noe som kunne gi uvedkommende full kontroll over kundenes nettverksutstyr.

    Les også:

Til toppen