La société Team Cymru publie l’analyse d’une attaque massive contre des routeurs de particuliers essentiellement en Europe centrale et en Asie.

Selon le rapport au moins 300 000 routeurs de type SOHO (destinés aux particuliers et aux TPE) étaient compromis et re-dirigeaient leur trafic vers deux serveurs DNS contrôlés par les pirates. Cela permettait toutes sortes d’attaques de type phishing de manière quasi-indétectable par la victime.

Outre le nombre important de victimes, l’intérêt de cette affaire est qu’elle ne concerne pas qu’une seule marque de routeurs, et que ceux-ci n’ont pas été détournés à l’aide d’une seule technique. On retrouve ainsi parmi les victimes des routeurs de marque D-Link, Micronet, Tenda ou encore TP-Link.

Quant aux techniques utilisées, elles allaient de la plus simple (forcer une machine locale à changer la configuration DNS du routeur via Javascript en comptant sur le fait que le mot de passe d’administration n’aura pas été changé) à la plus récente (attaque ROM-0), en passant par la technique classique de Cross-Site Request Forgery (CSRF).

Plus d’information : 
Télécharger le rapport complet (PDF, en anglais)