[GTER] Oi entregando DNS "banker"
Carlos Menandro
carlosmenandro at gmail.com
Thu May 7 22:17:52 -03 2015
Para quem não acredita... olha meu Mikrotik doméstico com ADSL Oi:
http://i.imgur.com/TXK4V4i.png
Em 6 de maio de 2015 10:16, Vinícius Zavam <egypcio at googlemail.com>
escreveu:
> 2015-05-05 16:32 GMT-03:00 Antonio Listas <aclistas at gmx.com>:
>
> > Não é o modem.
> > Ao contrário de outras operadoras como a GVT, o modem não tem a porta de
> > administração aberta (80) para a Internet e muito menos a de telnet (23).
> >
> > E são os servidores que o próprio DHCP puxa, quando atribui IP.
> > O campo não é nem editável, somente se eu quiser inserir meus próprios
> > servidores de DNS que ele fica editável.
> >
> > A primeira coisa que fiz quando reparei no servidor de DNS alterado foi
> > resetar o modem para as configurações de fábrica, e assim que efetuou o
> > DHCP Request, o servidor de DNS secundário atribuído já era o malicioso.
> > Como eu disse, os PRÓPRIOS servidores de DNS da Oi no mês passado
> > (201.10.128.3 e 201.10.128.2) estavam com as respostas para o BB
> alteradas,
> > assim como outros endereços (www.google-analytics.com).
> > Parece que simplesmente alteraram a forma de entregar as respostas
> > alteradas para o cliente, ao invés de mexer no próprio DNS da Oi,
> > substituiram o DNS secundário por um próprio que fica mais fácil de
> > controlarem.
> >
> >
> > Sent: Tuesday, May 05, 2015 at 6:28 PM
> > From: "Alexandre J. Correa (Onda)" <alexandre at onda.net.br>
> > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
> > gter at eng.registro.br>
> > Subject: Re: [GTER] Oi entregando DNS "banker"
> > Ja verificaram se nao é o modem que está infectado ??
> >
> > Na casa do meu pai, o modem dele (NET) foi acessado remotamente,
> > colocaram alguns scripts bash que mudavam o DNS do servidor dhcp
> interno...
> >
> >
> > On 05/05/2015 15:14, Carlos Menandro wrote:
> > > Estou com o mesmo problema em várias ADSLs no estado de Rondônia.
> > >
> > > Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com>
> escreveu:
> > >
> > >> Olá,
> > >>
> > >> Meu ADSL da Oi e de diversos conhecidos que tenho na região está
> > recebendo
> > >> direto do DHCP da Oi, um servidor de DNS secundário com o IP
> > >> 173.255.134.206.
> > >>
> > >> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
> > >> Primário: 201.10.128.2
> > >> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
> > >>
> > >> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de
> > servidores
> > >> virtuais/dedicados no varejo.
> > >> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do
> > Banco
> > >> do Brasil e enviando-nos para uma página "fake" para capturar os dados
> > de
> > >> acesso do banco.
> > >>
> > >> www.bb.com.br[http://www.bb.com.br] has address 162.243.90.26
> > >> www57.bb.com.br has address 162.243.90.26
> > >> 162.243.90.26 - este, que por sua vez, é um servidor também
> pertencente
> > a
> > >> uma empresa que vende serviços de servidores virtuais, a Digital
> Ocean.
> > >>
> > >> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a
> > exibir
> > >> um banner do Google Adsense no topo da página, algo que não aparece
> > >> utilizando DNS da OpenDNS e SuperDNS.
> > >>
> > >> Sendo assim, vendo este cenário, imagino que:
> > >> a) funcionário da Oi se aliando a hackers;
> > >> b) rede da Oi completamente comprometida, onde até acesso aos
> servidores
> > >> de DHCP tiveram pra poder alterar o DNS secundário entregue aos
> > clientes.
> > >>
> > >> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
> > >> estão tendo seus dados bancários roubados, e não sei mais o que, visto
> > que
> > >> só consegui identificar isso por causa do BB, mas não tenho conta em
> > outros
> > >> bancos para testar...
> > >> Parabéns pra Oi.
> > >>
> > >> É bom salientar que no mês passado os próprios DNS da Oi estavam
> > >> infectados, o que eu acreditava ser algum cache poison, mas
> > aparentemente
> > >> não é poison, e sim alguém lá dentro fazendo de propósito.
> > >> Verifiquei que existem diversos relatos em outros forums na Internet
> > onde
> > >> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos
> > sintomas
> > >> que percebi neste final de semana.
> >
> > --
> > Sds.
> >
> > Alexandre Jeronimo Correa
> >
>
> salvo minha ignorância, é interessante repassar casos como esse para os
> CSIRT responsáveis ou até mesmo registrar com o suporte e anotar números de
> chamado/ocorrência (mesmo que exista aquela imagem de que não irão se
> interessar ou resolver o caso; mais difícil ainda é não se interessar ou
> resolver o que não foi reportado).
>
>
> --
> Vinícius Zavam
> profiles.google.com/egypcio
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list