Немецкая телекоммуникационная компания Deutsche Telekom, крупнейшая в Европе и третья по величине в мире, подверглась атакам неизвестных хакеров. Проблема кроется в уязвимом оборудовании, которое компания предоставляет своим клиентам. Около 900 000 пользователей уже два дня не могут заставить свои роутеры функционировать нормально, у одних подключения к сети попросту нет, у других связь постоянно обрывается.
Атаки начались в минувшее воскресенье, 27 ноября 2016 года, и продолжились в понедельник. Хотя представители компании вскоре заявили на своей странице в Facebook, что проблема устранена, пользователи продолжают жаловаться на проблемы со связью до сих пор. По данным Allestoerungen.de, проблемы наблюдаются по всей стране, а не в каком-то конкретном регионе (см. карту ниже).
Местным СМИ представители Deutsche Telekom заявили, что происходящее – дело рук неких хакеров и заверили, что уже работают с производителями оборудования над выпуском экстренных патчей. При этом в компании поначалу никак не конкретизировали, с каким именно оборудованием связана проблема. В Facebook представители компании также посоветовали пользователям попытаться отключить роутеры от сети на 30 секунд: во-первых, малварь не переживает перезагрузку, во-вторых, это должно запустить процедуру обновления прошивки, то есть у компании уже есть патчи для некоторых девайсов. Если же проблема сохраняется после отключения роутера, компания рекомендует выключить устройство и не трогать его вообще.
Первыми свет на происходящее пролили исследователи SANS Internet Storm Center. Они пишут, что атака эксплуатирует уязвимости в оборудовании Zyxel, Speedport и, вероятно, других производителей. Собственные серверы-ловушки аналитиков фиксируют попытки эксплуатации багов каждые 5-10 минут.
Проблему SOAP Remote Code Execution, которую можно эксплуатировать через 7547 порт, недавно описывал независимый исследователь, известный как kenzo. Он предупреждал, что множество клиентов ирландского провайдера Eircom используют уязвимое для подобных атак оборудование. Атаки на Deutsche Telekom начались вскоре после того, как kenzo опубликовал proof-of-concept эксплоит и модуль для Metasploit.
Исследователи BadCyber и «Лаборатории Касперского» подтверждают слова аналитиков SANS Internet Storm Center, а еще связывают происходящее с IoT-малварью Mirai. Согласно данным BadCyber, похожие проблемы с роутерами наблюдаются также у пользователей из Польши.
«Необычное применение TR-064 команд для исполнения кода на роутерах впервые было описано в начале ноября, и через пару дней появился соответственный модуль для Metasploit. Похоже, кто-то решил использовать эти [уязвимости] в качестве оружия и создать червя на базе кода Mirai», — пишут BadCyber.
Исследователь, известный под псевдонимом MalwareTech, который отслеживает развитие Mirai с самого начала, тоже уверен, что атаки на Deutsche Telekom – дело рук этого IoT-вредоноса. Более того, специалист полагает, что за атаками стоит мощнейший на сегодня Mirai-ботнет, известный как ботнет #14. Именно он почти полностью отключил интернет в Либерии несколькими неделями раньше, а операторы ботнета совсем недавно хвастались своими достижениями на поприще апгрейда вредоноса.
The botnet mass exploiting Deutsche Telekom routers is the same one which was responsible for the Liberian ISP DDoS.
— MalwareTech (@MalwareTechBlog) November 28, 2016
Специалисты «Лаборатории Касперского» сообщают, что вечером 28 ноября командные серверы малвари timeserver.host и securityupdates.us стали указывать на IP-адреса в диапазоне 6.0.0.0/8, который принадлежит армии США. На деле никакой инфраструктуры, относящейся к Mirai, в этом диапазоне нет, так что боты не получают никаких команд. Исследователи предполагают, что злоумышленники, стоящие за атаками, попросту троллят и вскоре снова изменят настройки DNS.
Фото: Depositphotos
