Mirai Botnet đang trở nên mạnh hơn và khét tiếng hơn mỗi ngày trôi qua. Lý do: Thiết bị kết nối Internet không an toàn.
Tháng trước, botnet Mirai đã đánh sập toàn bộ Internet trong vài giờ, làm tê liệt một số trang web lớn nhất và phổ biến nhất trên thế giới.
Giờ đây, hơn 900.000 bộ định tuyến băng thông rộng của người dùng Deutsche Telekom ở Đức đã ngừng hoạt động vào cuối tuần sau một cuộc tấn công mạng được cho là, ảnh hưởng đến dịch vụ điện thoại, truyền hình và internet ở nước này.
Nhà cung cấp dịch vụ Internet của Đức, Deutsche Telekom, cung cấp nhiều dịch vụ khác nhau cho khoảng 20 triệu khách hàng, đã xác nhận trên Facebook rằng có tới 900.000 khách hàng bị mất kết nối Internet vào Chủ nhật và thứ Hai.
Hàng triệu bộ định tuyến được cho là có lỗ hổng Thực thi mã từ xa nghiêm trọng trong các bộ định tuyến do Zyxel và Speedport tạo ra, trong đó cổng Internet 7547 mở để nhận các lệnh dựa trên TR-069 và các giao thức TR-064 có liên quan, được sử dụng bởi ISP để quản lý thiết bị của bạn từ xa.
Lỗ hổng tương tự cũng ảnh hưởng đến các bộ định tuyến không dây Eir D1000 (Modem Zyxel được đổi tên) được triển khai bởi nhà cung cấp dịch vụ internet Ailen Eircom, trong khi không có dấu hiệu nào cho thấy các bộ định tuyến này đang bị khai thác tích cực.
Theo tìm kiếm của Shodan, khoảng 41 triệu thiết bị để cổng 7547 mở, trong khi khoảng 5 triệu thiết bị hiển thị các dịch vụ TR-064 ra thế giới bên ngoài.
Theo một lời khuyên được xuất bản bởi Trung tâm Bão Internet SANS, các máy chủ honeypot giả làm bộ định tuyến dễ bị tổn thương đang nhận mã khai thác cứ sau 5-10 phút cho mỗi IP mục tiêu.
Một gói bị chặn cho thấy lỗ hổng thực thi mã từ xa trong phần
Các nhà nghiên cứu bảo mật tại BadCyber cũng đã phân tích một trong những tải trọng độc hại được gửi trong các cuộc tấn công và phát hiện ra rằng cuộc tấn công bắt nguồn từ một máy chủ chỉ huy và kiểm soát đã biết của Mirai.
“Ứng dụng bất thường của các lệnh TR-064 để thực thi mã trên bộ định tuyến đã được mô tả lần đầu tiên vào đầu tháng 11 và vài ngày sau, một mô-đun Metasploit có liên quan đã xuất hiện,” BadCyber viết trong một bài đăng trên blog. “Có vẻ như ai đó đã quyết định vũ khí hóa nó và tạo ra một loại sâu Internet dựa trên mã Mirai.”
Mọi chuyện bắt đầu vào đầu tháng 10 khi một tên tội phạm mạng phát hành công khai mã nguồn của Mirai, một phần mềm độc hại IoT khó chịu được thiết kế để quét các thiết bị IoT không an toàn – chủ yếu là bộ định tuyến, máy ảnh và DVR – và biến chúng thành nô lệ của mạng botnet. được sử dụng để khởi chạy các cuộc tấn công DDoS.
Tin tặc đã tạo ba tệp khai thác riêng biệt để lây nhiễm ba kiến trúc khác nhau: hai chạy các loại chip MIPS khác nhau và một chạy bằng silicon ARM.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Tải trọng độc hại mở giao diện quản trị từ xa và sau đó cố gắng đăng nhập bằng ba mật khẩu mặc định khác nhau. Sau khi hoàn thành, việc khai thác sẽ đóng cổng 7547 để ngăn những kẻ tấn công khác chiếm quyền kiểm soát các thiết bị bị nhiễm.
Các nhà nghiên cứu cho biết: “Thông tin đăng nhập và mật khẩu bị xáo trộn (hoặc “mã hóa”) trong mã sâu sử dụng thuật toán tương tự như Mirai”. “Máy chủ C&C nằm dưới tên miền timeserver.host, có thể tìm thấy tên miền này trong danh sách trình theo dõi Mirai.”
Bạn có thể tìm thêm chi tiết kỹ thuật chuyên sâu về lỗ hổng trên ISC Sans, Kaspersky Lab và Blog Kỹ thuật đảo ngược.
Deutsche Telekom đã phát hành một bản vá khẩn cấp cho hai mẫu bộ định tuyến băng thông rộng Speedport của mình – Speedport W 921V, Speedport W 723V Loại B – và hiện đang tung ra các bản cập nhật chương trình cơ sở.
Công ty khuyến nghị khách hàng của mình tắt nguồn bộ định tuyến, đợi trong 30 giây rồi khởi động lại bộ định tuyến của họ để tìm nạp chương trình cơ sở mới trong quá trình khởi động.
Nếu bộ định tuyến không kết nối được với mạng của công ty, người dùng nên ngắt kết nối thiết bị của họ khỏi mạng vĩnh viễn.
Để bù đắp thời gian ngừng hoạt động, ISP cũng cung cấp quyền truy cập Internet miễn phí thông qua thiết bị di động cho những khách hàng bị ảnh hưởng cho đến khi sự cố kỹ thuật được giải quyết.
