Ce qui semble être le plus grand botnet jusqu'à présent - Mirai a créé encore une autre menace, cette fois pour la société allemande, Deutsche Telekom. Le botnet a réussi à se connecter au panneau d'administration de la plupart des routeurs à large bande, affecter les performances de plus 900,000 les clients.
Le bureau BSI (Office fédéral allemand pour la sécurité de l'information) est venu avec une déclaration au sujet de cette cyber-attaque massive et automatisée, détectée au cours du dernier week-end de Novembre, 2016.
D'après le rapport, nous pouvons aussi comprendre qu'il peut y avoir eu une version modifiée de la Mirai ver, qui a été libéré ouvert au public, entraînant des ravages massifs. Cette variante modifiée a commencé à provoquer des attaques et des infections sur plusieurs caméras de vidéosurveillance ainsi que des dispositifs IdO de type différent.
Qu'est-ce que Mirai Variante Do?
On a estimé que Mirai a utilisé l'interface de maintenance sur les modems allemands, plus spécifiquement le malware attaqué port 7547.
Cela a permis de gagner Mirai même accès administratif aux routeurs, ce qui lui donne le pouvoir de faire tout ce qui peut être modifié à partir du panneau d'administration du routeur .
Dès qu'il est le contrôle de routeurs et autres périphériques IdO les attaques de vers, ils sont «mis hors service» temporairement.
Pourquoi a-t-Mirai Infect avec succès Les appareils
Selon le chercheur Darren Martyn qui a communiqué avec Le registre, il y avait plusieurs questions qui étaient les possibilités pour le ver quand il est venu pour les utilisateurs infectent.
La première complication provient de l'une des interfaces des dispositifs, appelé "TR-064". Cette interface a été consultée via son port WAN qui est interconnecté avec l'Internet et le dispositif peut être géré à distance via ce port sans aucune demande d'authentification du tout.
Mais ce n'est pas tout, une autre interface "TR-069" a également la question de permettre port TCP / IP 7547, qui Mirai a été configuré pour tirer parti de. Mais depuis le 069 interface TR est essentiellement un protocole de gestion WAN, il ne sert à rien. Le fait est que la plupart des fournisseurs de services Internet utilisent généralement ce protocole très afin de gérer leurs propres réseaux de distance et donc résoudre les problèmes plus rapidement. Mais la situation est que cette interface est également reliée à un serveur qui possède TR-064(le premier numéro) compatibilité. Cela signifie que si un serveur est attaqué TR-064, il peut accepter ces commandes via 7547 sans aucune configuration ou une authentification supplémentaire entre les deux interfaces.
Une autre question selon le chercheur est que le routeur a une autre vulnérabilité qui est nouveau sur TR-064 interface et permet au botnet d'injecter des scripts avec la commande et donc rendre le dispositif temporaire inutile.
Et ça 069/064 question n'est pas quelque chose qui est présent sur un ou deux appareils aussi bien. Martin affirme qu'il a également découvert plus de 40 appareils, y compris Digicom, Aztech, D-Link et d'autres grands noms pour être vulnérable à cet exploit aussi bien.
Ceci étant le cas, il est maintenant tout à fait clair pourquoi le virus est devenu si répandu et cela soulève la "barre de niveau de danger" d'attaques Mirai encore plus. Gardez à l'esprit que les victimes de ce malware peuvent non seulement être des utilisateurs en Allemagne et compte tenu de la vitesse à laquelle cette variante se propage, il peut infecter toute ISP sur le monde de ce moment.
La destruction de Mirai
Laissez-nous jeter un coup d'oeil à plusieurs scénarios hypothétiques qui peuvent se produire quand il y a eu une attaque par Mirai. Si un attaquant est de contrôler cette version modifiée, cela signifie qu'il peut modifier les paramètres cruciaux tels que l'adresse DNS les dispositifs utilisent pour se connecter ainsi que les paramètres qui peuvent lui permettre de snoop des informations cruciales de ces appareils. Et nous ne parlons pas seulement de voler un mot de passe Wi-Fi et SSID ici, cette information est massive et même les mots de passe de l'utilisateur peut être obtenu.
Mais ce n'est pas tout, en termes de dommages. Le pirate derrière ce botnet peut également gérer les périphériques et ici nous parlons de contrôle de presque 1 million de périphériques via le logiciel de gestion ACS normalement disponible uniquement pour les FAI.
La question est maintenant corrigé et nous espérons ne sera pas répétée à l'avenir et experts travaillent encore sur elle. En attendant tous les utilisateurs de la télécommunication devraient changer les pouvoirs importants, tels que les mots de passe des comptes cruciaux pour accroître la sécurité.
Dès que l'attaque massive a été découvert, la société responsable des dispositifs, Deutsche Telekom a corrigé les routeurs et a offert un accès gratuit via leurs appareils mobiles, au moins jusqu'à ce qu'ils faire face à l'attaque.
Ventsislav Krastev
Ventsislav est expert en cybersécurité chez SensorsTechForum depuis 2015. Il a fait des recherches, couvrant, aider les victimes avec les dernières infections de logiciels malveillants ainsi que tester et examiner les logiciels et les derniers développements technologiques. Ayant obtenu leur diplôme et marketing, Ventsislav est également passionné par l'apprentissage de nouveaux changements et innovations en cybersécurité qui changent la donne. Après avoir étudié la gestion de la chaîne de valeur, Administration réseau et administration informatique des applications système, il a trouvé sa véritable vocation au sein de l'industrie de la cybersécurité et croit fermement à l'éducation de chaque utilisateur en matière de sécurité et de sûreté en ligne..
Plus de messages - Site Internet
Suivez-moi: