Huis > Cyber ​​Nieuws > Mirai Botnet verwijdert meer dan 900.000 IoT-apparaten in Duitsland
CYBER NEWS

Mirai Botnet neemt naar beneden over 900K ivd Devices In Duitsland

mirai-botnet-malware-aanval-worm-sensorstechforum-germany-apparatenWat lijkt op de grootste botnet tot nu toe - Mirai heeft nog een andere dreiging gecreëerd, dit keer voor het Duitse bedrijf, Duitse Telekom. Het botnet is erin geslaagd om in te loggen op het admin panel van de meeste breedband routers, die de werking van meer dan 900,000 klanten.

De BSI kantoor (Duitse Federaal Bureau voor Informatiebeveiliging) is gekomen met een verklaring met betrekking tot deze massale en geautomatiseerde cyber-aanval, gedetecteerd tijdens het laatste weekend van november, 2016.

Uit het rapport kunnen we ook begrijpen dat er een gewijzigde versie van de kan zijn Mirai worm, die werd uitgebracht voor het publiek toegankelijk, wat resulteert in enorme ravage. Deze gewijzigde variant is begonnen met het aanvallen en infecties op meerdere camera's van kabeltelevisie evenals ivd apparaten van verschillende typen veroorzaken.

Wat doet deze Mirai Variant Do?

Er werd geschat dat Mirai de handhaving interface is ondergebracht bij de Deutsche modems, meer specifiek de malware aangevallen port 7547.

Dit liet Mirai zelfs administratieve toegang tot routers krijgen, waardoor het de kracht om iets uit te voeren die kunnen worden aangepast vanaf admin panel van de router .

Zodra er controle over routers en andere ivd-apparaten de worm aanvallen, ze zijn "put out of business" tijdelijk.

Waarom heeft Mirai infecteren de apparaten succesvol

Volgens onderzoeker Darren Martyn die contact opnam met The Register, er waren verschillende problemen die de mogelijkheden voor de worm waren als het ging om het infecteren van gebruikers.

De eerste complicatie komt uit één van de interfaces van de apparaten, genaamd "TR-064". Deze interface is toegankelijk via het WAN-poort die is verbonden met het internet en het apparaat kan op afstand te allen worden beheerd via deze poort zonder enige verificatie verzoeken.

Maar dit is niet alles, andere interface "TR-069" heeft ook de kwestie van de staat TCP / IP-poort 7547, Mirai die is geconfigureerd om gebruik te maken van. Maar aangezien de 069 TR interface is eigenlijk een WAN management protocol wordt niet gebruikt voor niets. Feit is dat de meeste ISP's meestal gebruik van deze zeer protocol met het oog op hun eigen netwerken afstand van te beheren en dus problemen op te lossen sneller. Maar de situatie is dat deze interface ook is verbonden met een server die heeft TR-064(het eerste nummer) verenigbaarheid. Dit betekent dat als een server wordt aangevallen TR-064, kan die commando's via accepteren 7547 zonder extra configuratie of authenticatie tussen de twee interfaces.

Een ander probleem volgens de onderzoeker is dat de router had nog een kwetsbaarheid die weer op TR-064 interface en maakt het botnet om scripts te injecteren met commando en dus maken het apparaat tijdelijk onbruikbaar.

En dit 069/064 probleem is niet iets dat aanwezig is op een of twee apparaten ook. Martin beweert dat hij ook ontdekt meer dan 40 apparaten, waaronder Digicom, Aztech, D-Link en andere grote namen te kwetsbaar zijn om deze te exploiteren ook.

Als dit het geval, Het is nu duidelijk waarom het virus zo wijdverspreid geworden en dit verhoogt het "gevaar niveau bar" van Mirai aanvallen nog meer. Houd er rekening mee dat de slachtoffers van deze malware kan niet alleen gebruikers in Duitsland en gezien de snelheid waarmee deze variant wordt verspreid, het kan elke ISP infecteren op de wereld van dit moment.

De vernietiging van Mirai

Laten we een kijkje nemen op een aantal hypothetische scenario's die kunnen gebeuren als er een aanval van Mirai is geweest. Als een aanvaller is het besturen van deze gewijzigde versie betekent dit dat hij cruciale instellingen kunnen wijzigen, zoals het DNS-adres van de apparaten te gebruiken om verbinding te maken, alsmede instellingen die kunnen hem in staat stellen om cruciale informatie uit die apparaten snoop. En we zijn het niet alleen over het stelen van een wi-fi wachtwoord en SSID hier, Deze informatie is enorm en zelfs gebruikerswachtwoorden kunnen worden verkregen.

Maar dit is niet alles, in termen van schade. De hacker achter deze botnet kan ook de apparaten te beheren en hier hebben we het over de controle van bijna 1 miljoen apparaten via ACS management software normaal gesproken alleen beschikbaar voor ISP's.

Het probleem is nu opgelost en hopelijk in de toekomst niet worden herhaald en experts zijn er nog mee bezig. In de tussentijd moeten alle gebruikers van de telecom belangrijke referenties veranderen, zoals wachtwoorden van cruciaal accounts om de veiligheid te verhogen.

Zodra de massale aanval ontdekt, het bedrijf dat verantwoordelijk is voor de apparaten, Deutsche Telekom heeft de routers gepatcht en bood gratis toegang via hun mobiele apparaten, minstens tot zij verwerken de aanval.

Ventsislav Krastev

Ventsislav is sindsdien een cybersecurity-expert bij SensorsTechForum 2015. Hij heeft onderzoek gedaan, aan het bedekken, slachtoffers helpen met de nieuwste malware-infecties plus het testen en beoordelen van software en de nieuwste technische ontwikkelingen. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor het leren van nieuwe verschuivingen en innovaties in cybersecurity die gamechangers worden. Na het bestuderen van Value Chain Management, Netwerkbeheer en computerbeheer van systeemtoepassingen, hij vond zijn ware roeping binnen de cyberbeveiligingsindustrie en gelooft sterk in het opleiden van elke gebruiker in de richting van online veiligheid en beveiliging.

Meer berichten - Website

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens