Уязвимость в DSL-модемах дала возможность бразильским хакерам создать миллионные ботнеты

Информацию об уязвимости в DSL-модемах обнародовал эксперт Фабио Ассолини (Fabio Assolini) на конференции Virus Bulletin в Далласе. CSRF-уязвимость в DSL-модемах позволяла использовать простой сценарий для кражи паролей от системы управления устройствами. После этого баг давал возможность изменять настройки модемов для того, чтобы использовать DNS-серверы, выступающие в роли C&C серверов, и перенаправлять пользователей на фишинг-сайты.

В своем блоге Ассолини написал: «Это описание атаки, которая осуществляется в Бразилии с 2011 года. В рамках нападения используется 1 уязвимость в прошивке, 2 вредоносных сценария и 40 вредоносных DNS-серверов». По словам эксперта, жертвами злоумышленников стали 6 производителей оборудования, а также миллионы бразильских пользователей DSL-модемов.

В настоящее время нет информации о производителях и моделях уязвимых модемов. Ассолини отмечает, что используемая уязвимость была обнаружена в начале 2011 года и вызвана драйвером для чипсета, который поставляется в комплекте с модемами, использующими оборудование от компании Broadcom.

Уязвимость позволяет осуществить CSRF-атаку, получить доступ к административной панели и перехватить пароль, установленный на уязвимом устройстве. Затем злоумышленники изменяли административный пароль для того, чтобы жертва не могла изменить настройки модема. При посещении заранее подготовленных страниц с наборами эксплойтов устанавливалось вредоносное банковское ПО на компьютеры пользователей. В некоторых случаях для этого использовались уязвимости в программном обеспечении Java.

По данным Ассолини, жертвами стали пользователи всех крупнейших интернет-провайдеров Бразилии. Некоторые поставщики интернет-услуг заявили, что 50% их клиентов пострадали от деятельности ботоводов.