Rețeaua botnet bazată pe Mirai atacă Deutsche Telekom și infectează aproape un milion de dispozitive

Xakep #240. Ghidra

Compania germană de telecomunicații Deutsche Telekom, cea mai mare din Europa și a treia ca mărime din lume, a fost atacată de hackeri necunoscuți. Problema constă în echipamentele vulnerabile pe care compania le oferă clienților săi. Aproximativ 900.000 de utilizatori nu au reușit să-și facă routerele să funcționeze normal de două zile, unii pur și simplu nu au o conexiune la rețea, în timp ce alții sunt deconectați în mod constant.

bazată

Reprezentanții Deutsche Telekom au declarat presei locale că ceea ce se întâmplă a fost opera unor hackeri și au asigurat că lucrează deja cu producătorii de echipamente pentru a elibera patch-uri de urgență. În același timp, compania la început nu a precizat în niciun fel la ce tip de echipament se leagă problema. Pe Facebook, reprezentanții companiei i-au sfătuit și pe utilizatori să încerce să deconecteze routerele de la rețea timp de 30 de secunde: în primul rând, malware-ul nu supraviețuiește unei reporniri și, în al doilea rând, aceasta ar trebui să înceapă procedura de actualizare a firmware-ului, adică compania are deja patch-uri pentru unele dispozitive. Dacă problema persistă după deconectarea routerului, compania recomandă oprirea dispozitivului și nu-l atinge deloc.

Cercetătorii SANS Internet Storm Center au fost primii care au făcut lumină asupra a ceea ce se întâmplă. Ei scriu că atacul exploatează vulnerabilități din echipamentele Zyxel, Speedport și, probabil, ale altor producători. Serverele de capcană proprii ale analiștilor înregistrează încercările de exploatare a erorilor la fiecare 5-10 minute.

Cercetătorii BadCyber ​​​​și Kaspersky Lab confirmă cuvintele analiștilor SANS Internet Storm Center și, de asemenea, conectează ceea ce se întâmplă cu malware-ul Mirai IoT. Potrivit BadCyber, utilizatorii din Polonia se confruntă și cu probleme similare cu routerele.

Un cercetător cunoscut sub pseudonimul MalwareTech, careurmărește dezvoltarea Mirai de la bun început, de asemenea, este sigur că atacurile asupra Deutsche Telekom sunt opera acestui malware IoT. Mai mult, specialistul crede că cel mai puternic botnet Mirai, cunoscut sub numele de botnet #14, se află în spatele atacurilor. El a fost cel care a închis aproape complet internetul în Liberia cu câteva săptămâni mai devreme, iar operatorii de botnet s-au lăudat recent cu realizările lor în domeniul upgrade-ului malware.

Rețeaua botnet care exploatează routerele Deutsche Telekom este aceeași care a fost responsabilă pentru ISP-ul liberian DDoS.