Крупнейший телекоммуникационный оператор Германии Deutsche Telekom сообщил о том, что проблемы с доступом в Интернет, с которыми в течение воскресенья столкнулись около 900 тыс. клиентов, были вызваны кибератакой.

Как заявили в компании, роутеры, установленные операторами на стороне абонентов, подверглись атаке вредоносного ПО, которая в случае успеха должна была объединить зараженные устройства в ботнет. Но атака успехом не увенчалась, из-за чего в прошивке роутеров произошел сбой, повлиявший на работу 4–5% всех роутеров оператора и вылившийся в низкое качество работы Интернета в воскресенье. Сеть оператора скомпрометирована не была, уточнили в компании.

Чтобы пресечь попытки заразить роутеры, Deutsche Telekom установила дополнительные меры защиты сети и фильтрации трафика, а также выпустила срочное обновление прошивки для двух моделей роутеров — Speedport W 921V и Speedport W 723V Typ B. Чтобы очистить зараженные роутеры от зловреда, в компании советуют отключить роутер от сети на 30 секунд: вредоносная программа живет в памяти устройства, и перезагрузка удаляет ее.

Исследователи «Лаборатории Касперского» выяснили, что в атаке на Deutsche Telekom была задействована вариация всем известного IoT-зловреда Mirai, который использовался не так давно для массированной DDoS-атаки на DNS-провайдера Dyn. Червь, основанный на Mirai, атаковавший германского провайдера, способен поразить огромное количество уязвимых устройств. Напомним, что атака на Dyn привела к проблемам с доступом в Интернет на всем Восточном побережье США и перебоям в работе популярных сервисов и ресурсов вроде Twitter и GitHub. Целью атаки на роутеры Deutsche Telekom, как считают эксперты, также стало формирование ботнета из зараженных роутеров.

Исследователи BadCyber, нашедшие новый Mirai-червь в начале ноября, выяснили, что зловред проникает в устройство через протокол TR-064, который используется провайдером для удаленного администрирования роутеров. Некоторые устройства сконфигурированы таким образом, что могут принимать команды TR-064 из Интернета, чем и пользуются хакеры. Последние могут направить на роутер инструкцию открыть порт 80 файервола, что дает доступ к интерфейсу управления роутером. Эксперты института SANS также зарегистрировали попытки заразить роутеры через порт 7547, на который отправляются команды TR-064 (или TR-069, предусмотренные спецификацией протокола CPE WAN). В ходе исследования обнаружилось около 40 млн роутеров с открытым портом 7547, а установленные сервера-«ловушки» получали запросы на доступ к порту каждые 5–10 минут.

Кроме Deutsche Telekom атаке червя Mirai на порт 7547 также подверглись роутеры Zyxel, устанавливаемые на стороне абонента ирландским провайдером Eir.

Категории: Вредоносные программы, Главное, Уязвимости