Специалист «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) опубликовал расследование событий, которые происходили в Бразилии в 2011 году. По его словам, благодаря одной-единственной уязвимости в прошивке DSL-модемов местные хакеры сумели организовать масштабную операцию, которая затронула миллионы пользователей интернета.
Злоумышленники воспользовались уязвимостью в ADSL-маршрутизаторах, чтобы получить доступ к DSL-модемам, установленным в квартирах пользователей и офисах. Уязвимость даёт возможность CSRF-атаки (подделка межсайтовых запросов) в административной веб-панели DSL-модема, чтобы получить пароль пользователя. Более того, для многих модемов подходят стандартные пароли.
После этого можно изменить любые настройки, в том числе настройки DNS.
В течение нескольких месяцев злоумышленники имели возможность распространять вредоносное ПО и осуществлять произвольные редиректы с любых сайтов. Всё это стало возможным благодаря повальной неграмотности пользователей, никто из которых не заметил происходящего, а также преступной пассивности интернет-провайдеров, производителей оборудования и официальных властей.
Как показало расследование, CSRF-атака осуществлялась на DSL-модемы шести производителей. Пока нет точной информации, что общего у всех этих модемов, разве что все они на чипсетах Broadcom.
Панель администратора для удалённого доступа к модему пользователя.
Для поиска уязвимых модемов злоумышленники купили сервер и запустили на нём два bash-скрипта, которые автоматически сканировали диапазон IP-адресов для поиска DSL-модемов и применяли эксплойт на административной панели DSL-модема.
Первый скрипт.
Второй скрипт осуществлял непосредственно смену настроек DNS.
Чтобы монетизировать трафик, злоумышленники подняли 40 DNS-серверов на разных хостингах.
Несмотря на все усилия властей, даже спустя полгода после разоблачения этой схемы злоумышленники контролировали около 300 тыс. DSL-модемов, по состоянию на март 2012 года.
