[GTER] Oi entregando DNS "banker"

Tue May 5 16:32:29 -03 2015

Não é o modem.
Ao contrário de outras operadoras como a GVT, o modem não tem a porta de administração aberta (80) para a Internet e muito menos a de telnet (23).

E são os servidores que o próprio DHCP puxa, quando atribui IP. 
O campo não é nem editável, somente se eu quiser inserir meus próprios servidores de DNS que ele fica editável.

A primeira coisa que fiz quando reparei no servidor de DNS alterado foi resetar o modem para as configurações de fábrica, e assim que efetuou o DHCP Request, o servidor de DNS secundário atribuído já era o malicioso.
Como eu disse, os PRÓPRIOS servidores de DNS da Oi no mês passado (201.10.128.3 e 201.10.128.2) estavam com as respostas para o BB alteradas, assim como outros endereços (www.google-analytics.com).
Parece que simplesmente alteraram a forma de entregar as respostas alteradas para o cliente, ao invés de mexer no próprio DNS da Oi, substituiram o DNS secundário por um próprio que fica mais fácil de controlarem.

Sent: Tuesday, May 05, 2015 at 6:28 PM
From: "Alexandre J. Correa (Onda)" <alexandre at onda.net.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br>
Subject: Re: [GTER] Oi entregando DNS "banker"
Ja verificaram se nao é o modem que está infectado ??

Na casa do meu pai, o modem dele (NET) foi acessado remotamente,
colocaram alguns scripts bash que mudavam o DNS do servidor dhcp interno...

On 05/05/2015 15:14, Carlos Menandro wrote:
> Estou com o mesmo problema em várias ADSLs no estado de Rondônia.
>
> Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com> escreveu:
>
>> Olá,
>>
>> Meu ADSL da Oi e de diversos conhecidos que tenho na região está recebendo
>> direto do DHCP da Oi, um servidor de DNS secundário com o IP
>> 173.255.134.206.
>>
>> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
>> Primário: 201.10.128.2
>> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>>
>> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores
>> virtuais/dedicados no varejo.
>> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco
>> do Brasil e enviando-nos para uma página "fake" para capturar os dados de
>> acesso do banco.
>>
>> www.bb.com.br[http://www.bb.com.br] has address 162.243.90.26
>> www57.bb.com.br has address 162.243.90.26
>> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente a
>> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>>
>> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir
>> um banner do Google Adsense no topo da página, algo que não aparece
>> utilizando DNS da OpenDNS e SuperDNS.
>>
>> Sendo assim, vendo este cenário, imagino que:
>> a) funcionário da Oi se aliando a hackers;
>> b) rede da Oi completamente comprometida, onde até acesso aos servidores
>> de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>>
>> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
>> estão tendo seus dados bancários roubados, e não sei mais o que, visto que
>> só consegui identificar isso por causa do BB, mas não tenho conta em outros
>> bancos para testar...
>> Parabéns pra Oi.
>>
>> É bom salientar que no mês passado os próprios DNS da Oi estavam
>> infectados, o que eu acreditava ser algum cache poison, mas aparentemente
>> não é poison, e sim alguém lá dentro fazendo de propósito.
>> Verifiquei que existem diversos relatos em outros forums na Internet onde
>> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos sintomas
>> que percebi neste final de semana.
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter[https://eng.registro.br/mailman/listinfo/gter]
> --
> gter list https://eng.registro.br/mailman/listinfo/gter[https://eng.registro.br/mailman/listinfo/gter]

--
Sds.

Alexandre Jeronimo Correa
Sócio-Administrador

Office: +55 34 3351 3077

Onda Internet
www.onda.net.br[http://www.onda.net.br]

--
gter list https://eng.registro.br/mailman/listinfo/gter[https://eng.registro.br/mailman/listinfo/gter]