Троян, напавший на роутеры, оставил 1 млн пользователей без интернета. Еще 40 млн под угрозой

Безопасность Администратору Стратегия безопасности Пользователю Телеком Инфраструктура Интернет Интернет-доступ
мобильная версия
, Текст: Валерия Шмырова

Хакерская атака на домашние роутеры оставила без доступа в интернет около 1 млн пользователей из Германии. Пострадали в основном роутеры Zyxel и Speedport, у которых есть уязвимый открытый порт. Всего в мире около 41 млн роутеров с такой уязвимостью.


Атака на German Telekom

Миллион пользователей в Германии потерял доступ в интернет в результате хакерской атаки на домашние роутеры. В основном жертвами стали клиенты местного телеком-провайдера German Telekom.

Атака началась 20 ноября и продолжилась на следующий день. С точки зрения пользователей она выразилась в том, что у них пропал интернет. Со стороны German Telekom атака привела к невозможности идентифицировать роутеры клиентов во время вызова по линии связи.

Технические особенности атаки

В ходе атаки применялась вредоносная программа Mirai, которая воспользовалась уязвимостью роутеров производителей Zyxel и Speedport. Обычно в роутерах этих брендов оставляется открытым порт 7547, что дает возможность провайдеру удаленно управлять устройством и перезагружать его в случае сбоя.

Вредоносный код, написанный на основе Mirai с добавлением простого протокола доступа к объектам (SOAP), проник в домашние роутеры через порт 7547 и вызвал сбой в работе устройств. Впоследствии эксперты ресурса SANS Internet Storm Center, который первым сообщил о происшествии, специально создали незащищенную сеть, чтобы определить частоту атак. Как оказалось, вредоносный код пытался проникнуть в роутеры один раз в пять минут.

По данным SANS Internet Storm Center, сейчас в обозримом интернете насчитывается примерно 41 млн устройств с открытым портом 7547. Все эти приборы могут стать жертвами атаки с применением Mirai.

В ходе атаки был использован уязвимый открытый порт роутеров Zyxel и Speedport

Действия компании

German Telekom начала расследование происшествия сразу же после того, как появились первые сообщения об отсутствии доступа в интернет. Некоторое время специалисты компании полагали, что это может быть результатом неисправности сетевого оборудования. Однако на второй день были найдены доказательства, что это хакерская атака.

German Telekom посоветовала пользователям, у которых возникли проблемы с выходом в интернет, выключить роутеры, выждать некоторое время, после чего вновь их включить. Компания сообщает, что многим клиентам эта мера помогла восстановить доступ.

Позднее German Telekom выпустила обновленную прошивку для пострадавших роутеров. Чтобы ее установить, компания просит пользователей выключить устройство на 30 секунд, а потом снова включить. За это время роутер получит обновление с сервера German Telekom.

Что такое Mirai

Изначально Mirai – это программа, которая взламывает приборы интернета вещей путем подбора паролей, что позволяет хакерам создать из них ботнет. Впервые Mirai была применена в сентябре, в ходе атаки на популярный интернет-ресурс Krebs On Security. Вскоре исходный код программы был опубликован в интернете, после чего количество взломанных ею устройств начало стремительно расти.

В частности, в прошлом месяце Mirai была использована в ходе DDoS-атаки на DNS-сервера компании Dyn, которая лишила половину США доступа к множеству ресурсов, включая Twitter, Amazon, PayPal и Netflix. В общей сложности 85 сайтов были недоступны или работали с перебоями. Ущерб от атаки оценивается в $110 млн. Ответственность за ее проведение взяли на себя хакерские коллективы RedCult и New World Hackers.

На следующий день Mirai была использована для аналогичной атаки на DNS-сервера сингапурского провайдера StarHub, в результате чего 473 тыс. клиентов компании остались без доступа в интернет.