[GTER] Oi entregando DNS "banker"

Vinícius Zavam egypcio at googlemail.com
Wed May 6 11:16:39 -03 2015


2015-05-05 16:32 GMT-03:00 Antonio Listas <aclistas at gmx.com>:

> Não é o modem.
> Ao contrário de outras operadoras como a GVT, o modem não tem a porta de
> administração aberta (80) para a Internet e muito menos a de telnet (23).
>
> E são os servidores que o próprio DHCP puxa, quando atribui IP.
> O campo não é nem editável, somente se eu quiser inserir meus próprios
> servidores de DNS que ele fica editável.
>
> A primeira coisa que fiz quando reparei no servidor de DNS alterado foi
> resetar o modem para as configurações de fábrica, e assim que efetuou o
> DHCP Request, o servidor de DNS secundário atribuído já era o malicioso.
> Como eu disse, os PRÓPRIOS servidores de DNS da Oi no mês passado
> (201.10.128.3 e 201.10.128.2) estavam com as respostas para o BB alteradas,
> assim como outros endereços (www.google-analytics.com).
> Parece que simplesmente alteraram a forma de entregar as respostas
> alteradas para o cliente, ao invés de mexer no próprio DNS da Oi,
> substituiram o DNS secundário por um próprio que fica mais fácil de
> controlarem.
>
>
> Sent: Tuesday, May 05, 2015 at 6:28 PM
> From: "Alexandre J. Correa (Onda)" <alexandre at onda.net.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
> gter at eng.registro.br>
> Subject: Re: [GTER] Oi entregando DNS "banker"
> Ja verificaram se nao é o modem que está infectado ??
>
> Na casa do meu pai, o modem dele (NET) foi acessado remotamente,
> colocaram alguns scripts bash que mudavam o DNS do servidor dhcp interno...
>
>
> On 05/05/2015 15:14, Carlos Menandro wrote:
> > Estou com o mesmo problema em várias ADSLs no estado de Rondônia.
> >
> > Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com> escreveu:
> >
> >> Olá,
> >>
> >> Meu ADSL da Oi e de diversos conhecidos que tenho na região está
> recebendo
> >> direto do DHCP da Oi, um servidor de DNS secundário com o IP
> >> 173.255.134.206.
> >>
> >> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
> >> Primário: 201.10.128.2
> >> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
> >>
> >> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de
> servidores
> >> virtuais/dedicados no varejo.
> >> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do
> Banco
> >> do Brasil e enviando-nos para uma página "fake" para capturar os dados
> de
> >> acesso do banco.
> >>
> >> www.bb.com.br[http://www.bb.com.br] has address 162.243.90.26
> >> www57.bb.com.br has address 162.243.90.26
> >> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente
> a
> >> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
> >>
> >> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a
> exibir
> >> um banner do Google Adsense no topo da página, algo que não aparece
> >> utilizando DNS da OpenDNS e SuperDNS.
> >>
> >> Sendo assim, vendo este cenário, imagino que:
> >> a) funcionário da Oi se aliando a hackers;
> >> b) rede da Oi completamente comprometida, onde até acesso aos servidores
> >> de DHCP tiveram pra poder alterar o DNS secundário entregue aos
> clientes.
> >>
> >> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
> >> estão tendo seus dados bancários roubados, e não sei mais o que, visto
> que
> >> só consegui identificar isso por causa do BB, mas não tenho conta em
> outros
> >> bancos para testar...
> >> Parabéns pra Oi.
> >>
> >> É bom salientar que no mês passado os próprios DNS da Oi estavam
> >> infectados, o que eu acreditava ser algum cache poison, mas
> aparentemente
> >> não é poison, e sim alguém lá dentro fazendo de propósito.
> >> Verifiquei que existem diversos relatos em outros forums na Internet
> onde
> >> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos
> sintomas
> >> que percebi neste final de semana.
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
>

salvo minha ignorância, é interessante repassar casos como esse para os
CSIRT responsáveis ou até mesmo registrar com o suporte e anotar números de
chamado/ocorrência (mesmo que exista aquela imagem de que não irão se
interessar ou resolver o caso; mais difícil ainda é não se interessar ou
resolver o que não foi reportado).


-- 
Vinícius Zavam
profiles.google.com/egypcio



More information about the gter mailing list