Hvad der synes at være den største botnet hidtil - Mirai har skabt endnu en trussel, denne gang for det tyske selskab, tyske Telekom. Den botnet har formået at logge på admin panel af de fleste bredbånd routere, påvirker udførelsen af løbet 900,000 kunder.
BSI kontor (Tyske forbundskontor for informationssikkerhed) er kommet op med en erklæring om denne massive og automatiseret cyber-angreb, registreres i den sidste weekend i november, 2016.
Fra rapporten kan vi også forstå, at der kan have været en modificeret udgave af den Mirai orm, som blev udgivet åben for offentligheden, hvilket resulterer i massiv kaos. Dette ændrede variant er begyndt at forårsage angreb og infektioner på flere overvågningskameraer samt IoT enheder af forskellig type.
Hvad betyder dette Mirai Variant Do?
Det blev anslået, at Mirai har brugt vedligeholdelse interface på de tyske modemer, mere specifikt malware angreb havn 7547.
Dette gav Mirai at vinde endnu administrativ adgang til routere, giver det beføjelse til at udføre noget, der kan ændres fra routerens admin panel .
Så snart der er kontrol over routere og andre tingenes internet-enheder ormen angreb, de er ”sat ud af business” midlertidigt.
Hvorfor har Mirai Succesfuld inficere Enheder
Ifølge forsker Darren Martyn der kontaktede Registret, var der flere problemer, der var muligheder for ormen, når det kom til at inficere brugere.
Den første komplikation stammer fra en af grænsefladerne af indretningerne, kaldet ”TR-064". Denne grænseflade blev tilgås via det WAN-port, der er forbundet med internettet, og enheden kan fjernstyres via denne port uden eventuelle anmodninger authentication overhovedet.
Men det er ikke alt, et andet interface ”TR-069" også har spørgsmålet at gøre det muligt TCP / IP-port 7547, som Mirai var konfigureret til at udnytte. Men siden 069 TR-interface er dybest set et WAN Management Protocol det bruges ikke for ingenting. Faktum er, at de fleste internetudbydere normalt bruger denne meget protokol med henblik på at styre deres egne netværk fra afstand og dermed løse problemer hurtigere. Men situationen er, at denne grænseflade også er forbundet til en server, som har TR-064(det første nummer) kompatibilitet. Det betyder, at hvis en server bliver angrebet på TR-064, den kan acceptere disse kommandoer via 7547 uden yderligere konfiguration eller autentificering mellem de to grænseflader.
Et andet spørgsmål i henhold til forskeren er, at routeren havde en anden sårbarhed, som igen er på TR-064 interface og gør det muligt for botnet at injicere scripts med kommando og dermed gøre enheden midlertidigt ubrugelig.
Og dette 069/064 Spørgsmålet er ikke noget, der er til stede på en eller to enheder samt. Martin hævder, at han også opdaget mere end 40 enheder, herunder Digicom, Aztech, D-Link og andre store navne til at være sårbare over for denne udnytte så godt.
Dette er tilfældet, det er nu helt klart, hvorfor virussen blev så udbredt, og dette rejser ”fare niveau bar” af Mirai angreb endnu mere. Husk på, at ofrene for denne malware ikke kun kan være brugere i Tyskland og i betragtning af den hastighed, hvormed denne variant spredes, det kan inficere enhver internetudbyder på verdensmarkedet som i dette øjeblik.
Ødelæggelsen af Mirai
Lad os tage et kig på flere hypotetiske scenarier, der kan ske, når der har været et angreb af Mirai. Hvis en hacker styrer dette ændret version betyder det, at han kan ændre afgørende indstillinger såsom DNS-adressen enhederne bruger til at forbinde samt indstillinger, der kan gøre det muligt for ham at snuse afgørende oplysninger fra disse enheder. Og vi er ikke kun tale om at stjæle en wi-fi adgangskode og SSID her, denne information er massiv og kan fås endda brugeradgangskoder.
Men det er ikke alt, i form af skader. Hackeren bag denne botnet kan også administrere enhederne og her taler vi om kontrollen over næsten 1 million enheder via ACS management software normalt kun tilgængelig for internetudbyderens.
Spørgsmålet er nu fast og forhåbentlig vil ikke blive gentaget i fremtiden, og eksperter arbejder stadig på det. I mellemtiden alle brugere af telekom bør ændre vigtige legitimationsoplysninger, såsom adgangskoder afgørende konti for at øge sikkerheden.
Så snart massivt angreb blev opdaget, virksomheden er ansvarlig for enhederne, Deutsche Telekom har lappet routere og tilbudt gratis adgang via deres mobile enheder, i det mindste indtil de klare angrebet.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig: