Onderzoekers hebben 300.000 gekaapte routers ontdekt waarvan de DNS-instellingen zijn gewijzigd. De meeste van de aangevallen routers, waaronder die van D-Link, TP-Link, Tenda, AirLive, Micronet en andere fabrikanten, bevinden zich in Vietnam, gevolgd door India, Italië, Thailand en Cambodja.

De aanvallers gebruiken kwaadaardige Javascript, Cross-site request forgery (CSRF) en standaard adminwachtwoorden om het beheerderswachtwoord te resetten en toegang tot de router te krijgen. Vervolgens wijzigen de aanvallers de DNS-instellingen. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Daardoor is het mogelijk om gebruikers naar phishingsites en andere kwaadaardige websites door te sturen.

Voor zover bekend is er nog geen misbruik van de aangepaste DNS-instellingen gemaakt. Volgens de onderzoekers van Team Cymru die de aanval ontdekten verschilt het van de aanval op Poolse internetgebruikers die in februari bekend werd. Bij deze aanval hadden de aanvallers de DNS-instellingen van voornamelijk routers in Polen aangepast om fraude met internetbankieren te plegen.

Bij het bezoeken van hun banksite kwamen slachtoffers op nagemaakte banksites uit. Volgens de onderzoekers is er sprake van een trend. "Criminelen verleggen hun aandacht van het hacken van je computer naar het hacken van je gateway tot het internet", aldus Steve Santorelli van TeamCymru. Veel routers blijken kwetsbaar te zijn. Zo lieten onderzoekers van een ander bedrijf vorige maand nog weten dat ze in 80% van de Top 25 verkochte routers kwetsbaarheden hadden ontdekt.