Независимый исследователь под ником Kafeine опубликовал описание обнаруженной им крупномасштабной атаки, осуществляемой путем подмены адреса DNS-сервера в настройках домашних маршрутизаторов. Атака совершается, когда пользователь заходит на вредоносный сайт с помощью браузера Chrome.
Взлом происходит путем межсайтовой подделки запроса — этот метод при наличии определенных брешей позволяет обратиться к веб-интерфейсу управления машрутизатором, обычно доступному только из локальной сети. Главный DNS-сервер заменяется на адрес, принадлежащий злоумышленникам, а дополнительный — на DNS-сервис Google: таким образом, если фальшивый временно недоступен, сбоев в обслуживании нет. По сведениям исследователя, на сегодня для атаки уязвимы 55 моделей маршрутизаторов ASUS, Belkin, D-Link, Linksys, Netgear, TP-Link,Trendnet, ZyXEL и других компаний.
Часть брешей, используемых в атаке, достаточно старые, и для них доступны заплаты, но многие не обновляют прошивки маршрутизаторов, так как это не всегда просто, и большое число устройств остаются уязвимыми. Что касается масштабов атаки, по сведениям исследователя, в начале мая у сервера атакующих было до миллиона посетелей в день. Больше всего пострадавших — в США, России, Австралии, Бразилии и Индии.