Теперь жертвами грозного IoT-ботнета Mirai стали сотни тысяч абонентов услуги широкополосного Интернета британских операторов TalkTalk и Post Office. За последние пару недель Mirai атаковал других крупных операторов в Европе — Deutsche Telekom, KCOM и Eir.

Post Office начал испытывать проблемы в прошлое воскресенье, а TalkTalk — два дня назад. На резкое снижение скорости соединения пожаловались сотни тысяч пользователей. Такой же масштаб атаки наблюдал провайдер KCOM. Злоумышленники атаковали роутеры производства ZyXEL, используемые в сети.

По словам KCOM и ZyXEL, уже готов патч для уязвимости, позволившей заразить устройства. ZyXEL уточнил, что атака производилась через порт 7547, открытый для технической поддержки по протоколу TR-064; в настоящее время производитель закрывает возможность удаленного доступа к порту. По его заявлению, решение проблемы сейчас является приоритетной задачей компании. Уязвимость, как рассказали в ZyXEL, возникла из-за изъяна в чипсетах Econet RT63365 и MT7505 и сопутствующих SDK версий #7.3.37.6 и #7.3.119.1 v002 соответственно.

В Post Office заявили о том, что с проблемой столкнулись около 100 тыс. клиентов и точкой входа атаки также стали роутеры ZyXEL, патч для которых вскоре будет предоставлен абонентам. Ранее атаке подверглись 900 тыс. клиентов германского оператора Deutsche Telekom, часть из них также использовала роутеры ZyXEL. В TalkTalk мишенью злоумышленников стали роутеры D-Link; оператор заверил, что патч вскоре будет применен на всех устройствах.

Все операторы, атакуемые Mirai, также готовятся внедрить дополнительные меры безопасности на сети.

О том, кто стоит за этими масштабными атаками и каковы их мотивы, сведений нет. Злоумышленники используют IoT-зловред Mirai, который обычно сканирует сеть на предмет открытых telnet-портов, а затем атакует уязвимые устройства, используя 61 комбинацию логина и пароля для брутфорса устройства. Обычно роутеры защищены недостаточно надежно, так как многие из них используют заводские учетные записи для доступа к устройству.

Потенциальные жертвы Mirai среди сетевых устройств — это более 5 млн роутеров с открытыми диагностическими портами. Это, а также наличие модуля Metasploit для автоматизации атак делает ботнет Mirai масштабной угрозой. Хотя червь Mirai живет в памяти роутера и его можно «убить» перезагрузкой, он способен полностью захватить доступ к диагностическому порту, что значительно затрудняет доставку патча операторов.

Как всегда, проблему усугубляет исторически очень низкий уровень безопасности роутеров, и в ближайшее время это не изменится. Это фундаментальная проблема всей концепции Интернета вещей, согласны эксперты отрасли.

Категории: DoS-атаки, Вредоносные программы, Главное, Уязвимости