Cyber Attack làm sập gần 1 triệu Router

By | 9:34 pm | 29/11/2016

Mirrai Botnet ngày càng mạnh và nguy hiểm hơn, lý do là các thiết bị IoTs mất an toàn nghiêm trọng.

Tháng trước, Mirrai Botnet đã làm sập các trang web lớn trong vài giờ và hôm nay, hơn 900.000 router Deutsche Telekom của Đức đã bị sập sau các cuộc tấn công giả.

Một ISP của Đức, Deutsche Telekom đã xác nhận trên facebook, có khoảng 900.000 khách hàng bị ngắt internet trong 2 ngày chủ nhật và thứ 2. Hàng triệu router tồn tại lỗ hổng Remote code Execution, các router này đều do Zyxel và Speedport sản xuất. Nguyên nhân là cổng 7547 trên router được mở để nhận lệnh qua giao thức TR-069 và TR-064 (giao thức để các ISP quản lý thiết bị từ xa).

Theo SANS, các honeypot được dựng như các mẫu router bị lỗ hổng đã ghi nhận các cuộc tấn công vào router cách nhau 5-10 phút một lần.

Các nhà nghiên cứu an ninh tại BadCyber đã phân tích các payloads và phát hiện ra cuộc tấn công có nguồn gốc từ Mirai’s C&C server. BadCyber viết trên blog: “Thông tin TR-064 đã thực thi các mã bất thường trên router được mô tả lần đầu vào đầu tháng 11, một module trong Metasplot đã xuất hiện.  Có vẻ như ai đó đã tạo ra các mã độc dựa trên mã nguồn Mirai”

Các hacker đã tạo ra 3 mã khai thác riêng biệt cho 3 kiến trúc khác nhau: 2 chạy trên các loại chip MIPS, một chạy trên ARM. Mã độc sẽ tấn công vào các tài khoản quản trị bằng danh sách mật khẩu mặc định, khi thực hiện mã khai thác sẽ đóng cổng 7547 để ngăn chặn những hacker khác.

mirai2

Chi tiết hơn về kỹ thuật tấn công tìm thấy trên ISC Sans, Kaspersky Lab, and Reverse Engineering Blog.

Deutsche Telekom đã phát hành bản vá cho các router Speedport W 921V, Speedport W 723V Type B: https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-921v/firmware-zum-speedport-w-921v?samChecked=true