Gebruikers via gehackte routers omgeleid naar malafide websites
Cybercriminelen compromitteren op grote schaal routers en leiden DNS-verkeer om naar een schaduwnetwerk. Hierdoor worden gebruikers zonder medeweten doorgestuurd naar schadelijke websites, terwijl hun apparaten nog wel verbinding maken met het internet.
Dit blijkt uit onderzoek van Infoblox Threat Intel. De aanval werkt als volgt: een gebruiker voert een webadres in, maar in plaats van de beoogde bestemming te bereiken, wordt het verkeer soms omgeleid naar een andere locatie – vaak een site die de aanvallers financieel voordeel oplevert. Dit gebeurt door de DNS-instellingen van de router te wijzigen, waardoor alle aangesloten apparaten (zoals telefoons, laptops en IoT-apparaten) gebruikmaken van malafide DNS-resolvers.
Vooral oudere routers doelwit
De aanvallers richten zich met name op oudere routermodellen en passen de DNS-configuratie aan. Vervolgens wordt al het verkeer niet langer via de resolvers van de internetprovider (ISP) geleid, maar via servers die worden gehost bij Aeza International, een hostingbedrijf dat in juli 2025 door de Amerikaanse overheid werd gesanctioneerd. Deze resolvers geven voor bekende sites zoals Google meestal het correcte IP-adres terug, maar voor andere domeinen leidt dit tot omleidingen naar een Traffic Distribution System (TDS).
Binnen het TDS wordt het verkeer geanalyseerd en gekoppeld aan een profiel. Als het verzoek afkomstig blijkt van een gecompromitteerde router, wordt de gebruiker via advertentieplatforms doorgestuurd naar schadelijke of misleidende content.
'Vervang verouderde routers'
Voor eindgebruikers is de meest effectieve maatregel het vervangen van verouderde routers door moderne apparaten. IT-teams wordt geadviseerd om DNS te behandelen als kritieke beveiligingslaag, met controles die verkeer naar bekende malafide resolvers en schaduwnetwerken kunnen detecteren en blokkeren.
“De meeste mensen staan er nooit bij stil aan wie hun router de weg vraagt op het internet. Ze vertrouwen er gewoon op dat het antwoord klopt”, zegt Renée Burton, Vice President Infoblox Threat Intel. “Deze campagne laat zien hoe risicovol het is als dat vertrouwen stilletjes wordt gekaapt. Zodra aanvallers de DNS-instellingen van een router onder controle hebben, staan ze in feite aan het roer van de internetverbindingen van alle op de router aangesloten apparaten en kan normaal surfgedrag ongemerkt worden omgebogen naar een winstgevende omweg.”
Meer achtergrondinformatie en technische details zijn hier te vinden.
Meer over Security
Over Wouter Hoeffnagel
