Ботнет атаковал немецкого провайдера и заразил миллион устройств

Deutsche Telekom, немецкая телекоммуникационная компания, крупнейшая в Европе, в мире она занимает третье место, подверглась мощной DDoS-атаке группой хакеров. Атака смогла произойти, благодаря уязвимому оборудованию, которое компания даёт своим клиентам. Порядка 900 000 пользователей уже целых двад ня не могут заставить никак свои роутеры нормально функционировать, у половины подключения к сети нет, у других связь постоянно обрывается.

Атака началась 27 ноября в воскресенье, а затем с новыми силами повторилась в понедельник. Представители компании в Facebook очень быстро заявили, что проблем нет, и вс уже починили. пользователи продолжили истошно вопить, что нипаиграть! Allestoerungen.de использовал возможность и улучил повайдера в е совсем точных даных, так как пробелмы с сетью были не просто в отдельно взятом регионе, а по всей стране.

Вскоре представители Deutsche Telekom дали заявление местным СМИ, что всё это происходит из-за атаки неизвестной гурппы хакеров, и пока они решают проблему, срочно связались с разработчиком оборудования и уже в срочном темпе пишут экстренные патчи. При этом компания официально никак не обьяснила с каким именно оборудованием возникла проблема и почему. Чуть позже в Facebook, компания попросила своих пользователей перезагрузить роутеры, отключив их от сети на 30 секунд, так как малварь не переживёт полную перезагрузку, а так же запустит процедуру автоматического обновления версии прошивки, то есть у компании уже написаны патчи, для некоторых устройств. В случае если это решение Вам не помогло, просто отключите роутер и не трогайте его вообще. вот именно такую рекомендацию дали сотрудники компании.

Первыми свет на всю происходящую чехарду пролили исследователи SANS Internet Storm Center. Они туверждают, что хакеры использую.т уязвимость в оборудовании Zyxel и Speedport, вероятно, и не которых других производителей. Северы же самих исследователей показали, что хакеры пытаются использовать баги в системах каждые 5-10 секунд.

А точнее пытаются начать давить на SOAP Remote Code Execution, эта проблема даёт возможность использовать порт 7547, про который мы писали не так давно. Тогда мы писали, что множество клиентов Ирландского провайдера Eircom используют оборудование, крайне уязвимое для подобных атак. Поразителен тот факт, что атаки начались почти сразу после того как kenzo опубликовал proof-of-concept эксплоит и модуль для Metasploit.

Наша же Лаборатория Касперсокго подтвеждает слова аналитиков SANS Internet Storm Center, и заявляют, что подобное происходит по вине всем уже известной малвари Mirai. По данным BadCyber, подобные проблемы начали уже испытывать пользователи интернета в Польше.

Подобное примнение команд TR-064 для выполнения кода на роутерах, впервые было описано в начале ноябре, через всего пару дней появился соотвествующий модуль для Metasploit. Похоже, что кто-то решил, использовать эти уязвимости и в очередной раз улучшить исходный код Mirai, в этот раз доработав код до червя.

MalwareTech, известный своими наблюдениями за ботнетами. так же уверен, что данная такая сто процентно дело рук Mirai. Более того, специалист полагает, что за этой как и за всеми предыдущими крупными атаками стоит ботнет номер 14. про которого мы уже неоднократно писали. Именно этот ботнет почти полностью отключил инетрнет в Либерии, а операторы ботнета в открытыю шлют рекламу по jabber, с предложением заддосить кого угодно за Ваши деньги.

Вечером 28 ноября хакеры решили пошутить и в командных строках серверы малвари timeserver.host и securityupdates.us, стали указывать IP-адреса в диапозоне 6.0.0.0/8, который принадлежит армии Соединённых Штатов Америки. Разумеется, всем понятно, что в этом диапозоне никакой инфстраструктуры Mirai нет и быть не может, так что боты не получают никаких новых команд, но этот факт показывает насколько группа хакеров, создавших столь огромный ботнет не знает, как себя развлечь. В скором времени они снова изменят настройки DNS.

Мы прогнозировали, что скоро ботнет станет крайне крупно атаковать, но отключение миллиона людей от интернета и нигде нибудь, а в Германии, это показатель действительно мощности и силы ботнета.