O que parece ser o maior botnet até agora - Mirai criou ainda uma outra ameaça, desta vez para a empresa alemã, alemã Telekom. O botnet conseguiu login para o painel de administração da maioria dos roteadores de banda larga, afetando o desempenho de mais de 900,000 clientes.
O escritório BSI (Escritório Federal Alemão para Segurança da Informação) surgiu com uma declaração sobre este cyber-ataque maciço e automatizado, detectado durante a última semana de novembro, 2016.
A partir do relatório, podemos também entender que pode ter havido uma versão modificada do verme Mirai, que foi lançado aberto ao público, resultando em estragos maciça. Esta variante modificada começou a ataques de causa e infecções em vários câmeras de vigilância, bem como dispositivos da Internet das coisas de tipo diferente.
O que isso Mirai Variant Do?
Estima-se que Mirai tem usado a interface de manutenção sobre os modems alemão, mais especificamente o malware atacou porta 7547.
Isto permitiu Mirai para obter acesso ainda administrativo para routers, dando a ele o poder de realizar qualquer coisa que possa ser modificada no painel de administração do roteador .
Assim que houver controle sobre roteadores e outros dispositivos IoT, o worm ataca, eles são “colocados fora do mercado” temporariamente.
Por que Mirai infectou os dispositivos com sucesso
De acordo com o pesquisador Darren Martyn, que contatou O registro, havia vários problemas que eram oportunidades para o worm quando se tratava de infectar usuários.
A primeira complicação deriva de uma das interfaces dos dispositivos, chamado “TR-064”. Esta interface foi acessada por meio de sua porta WAN, que está interconectada com a internet e o dispositivo pode ser gerenciado remotamente por meio dessa porta sem qualquer solicitação de autenticação.
Mas isto não é tudo, outra interface “TR-069” também tem o problema de habilitar Porta TCP / IP 7547, que o Mirai foi configurado para aproveitar. Mas desde o 069 A interface TR é basicamente um protocolo de gerenciamento WAN que não é usado para nada. O fato é que a maioria dos ISPs geralmente usa esse mesmo protocolo para gerenciar suas próprias redes à distância e, portanto, corrigir problemas mais rapidamente. Mas a situação é que essa interface também está conectada a um servidor que possui TR-064(o primeiro problema) compatibilidade. Isso significa que se um servidor for atacado em TR-064, ele pode aceitar esses comandos via 7547 sem qualquer configuração adicional ou autenticação entre as duas interfaces.
Outra questão segundo o pesquisador é que o roteador tinha outra vulnerabilidade que está novamente no TR-064 interface e permite que o botnet injete scripts com o comando e, portanto, torne o dispositivo temporariamente inútil.
E isto 069/064 problema não é algo que está presente em um ou dois dispositivos também. Martin afirma que também descobriu mais do que 40 dispositivos incluindo Digicom, Astech, D-Link e outros grandes nomes também estão vulneráveis a esse exploit.
Sendo este o caso, agora está bem claro por que o vírus se espalhou tanto e isso aumenta ainda mais o "nível de perigo" dos ataques Mirai. Lembre-se de que as vítimas desse malware podem não ser apenas usuários na Alemanha, devido à taxa de disseminação dessa variante, pode infectar qualquer ISP no mundo a partir deste momento.
A Destruição de Mirai
Vamos dar uma olhada em vários cenários hipotéticos que podem acontecer quando há um ataque de Mirai. Se um invasor está controlando esta versão modificada, isso significa que ele pode alterar as configurações cruciais, como o endereço DNS que os dispositivos usam para se conectar, bem como as configurações que podem permitir que ele espie informações cruciais desses dispositivos. E não estamos falando apenas sobre roubar uma senha wi-fi e SSID aqui, esta informação é enorme e até mesmo senhas de usuário podem ser obtidas.
Mas isto não é tudo, em termos de dano. O hacker por trás deste botnet também pode gerenciar os dispositivos e aqui estamos falando sobre o controle de quase 1 milhões de dispositivos via software de gerenciamento ACS normalmente disponível apenas para ISP's.
O problema foi corrigido e, com sorte, não se repetirá no futuro, e os especialistas ainda estão trabalhando nisso. Nesse ínterim, todos os usuários de telecomunicações devem alterar credenciais importantes, como senhas de contas cruciais para aumentar a segurança.
Assim que o ataque massivo foi descoberto, a empresa responsável pelos dispositivos, A Deutsche Telekom corrigiu os roteadores e ofereceu acesso gratuito por meio de seus dispositivos móveis, pelo menos até que eles lidem com o ataque.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga: