2018 年 12 月 29 日����,第一波攻擊發(fā)起,目標(biāo)是 D-Link DSL-2640B、D-Link DSL-2740R�����、D-Link DSL-2780B和 D-Link DSL-526B����,將其重定向到加拿大的流氓 DNS 服務(wù)器。2019 年 2 月 6 日發(fā)起的第二波攻擊也針對這些相同類型的 D-Link 調(diào)制解調(diào)器����。
3 月 26 日,第三次攻擊是針對的是 ARG-W4 ADSL �����、DSLink 260E�����、Secutech 和 TOTOLINK 的路由器�����。
雖然暫時無法列出有多少路由器受到其影響�����,但有研究者表示,超過 14000 臺 D-Link DSL-2640B 路由器與 2265 臺 TOTOLINK 路由器暴露在公網(wǎng)上����。研究人員也沒有具體說明攻擊者如何攻擊路由器。然而�����,他指出����,在過去幾年中�����,DNSChanger 惡意軟件已經(jīng)多產(chǎn)到為網(wǎng)絡(luò)犯罪分子提供了 1400 萬美元的收入�����。
研究表明�����,上述攻擊都使用了谷歌云平臺的主機。攻擊者首先使用谷歌的云服務(wù)功能來掃描可能被利用的易受攻擊的路由器�����。然后����,他們使用谷歌的平臺將路由器遠(yuǎn)程配置到他們自己的 DNS 服務(wù)器。
研究人員表示����,這個平臺很容易被濫用,任何擁有谷歌帳戶的人都可以輕松訪問“Google Cloud Shell”����,這項服務(wù)可為用戶提供相當(dāng)于Linux VPS [虛擬專用服務(wù)器]的服務(wù),直接為他們提供在 Web 瀏覽器中的 root 權(quán)限�����。
“作為一家大型云服務(wù)提供商�����,處理濫用行為對谷歌來說是一個持續(xù)的過程����?����!毖芯咳藛T Mursch 說�����。 “然而����,與競爭對手不同����,谷歌讓犯罪分子很容易濫用他們的平臺����。”
