На прошлой неделе стало известно, что от новой версии малвари Mirai пострадали пользователи провайдеров UK Postal Office (британская почта), TalkTalk и KCOM. Напомню, что ранее, в конце ноября, аналогичная проблема постигла почти миллион абонентов немецкого провайдера Deutsche Telekom. Разработчики новой версии Mirai, которая получила имя Annie, извинились перед пользователями, сообщив, что сбои в работе оборудования были незапланированным побочным эффектом.
Исследователи Pen Test Partners изучили данные инциденты и высказали собственную точку зрения на происходящее. Так, еще на прошлой неделе известный эксперт Эндрю Тирни (Andrew Tierney) писал в блоге компании, что специалисты Pen Test Partners не смогли понять, что вызвало перебои в работе UK Postal Office и TalkTalk, о которых сообщалось в прессе. По мнению исследователей, действия Annie не должны были вызывать сбои в работе пользовательских роутеров, разве что те «падали» под натиском огромного количества запросов, направленного на поиск новых уязвимых устройств.
Стоит сказать, что вскоре после инцидента представители TalkTalk опубликовали инструкцию для своих абонентов, в которой рекомендовали владельцам уязвимых устройств следующее решение проблемы: перезагрузить устройство, а затем оставить его в покое на 30 минут, чтобы роутер обновился. «Спустя 30 минут попробуйте снова подключиться к интернету. Если вы меняли настройки беспроводного соединения, воспользуйтесь именем сети и паролем, которые написаны на роутере сзади», — пишет TalkTalk.
В очередном сообщении в блоге Pen Test Partners Эндрю Тирни объясняет, что это вообще не решает проблему: «Большинство клиентов TalkTalk никогда не меняли ключ Wi-Fi и пользовались написанным на роутере. Да и зачем им это? Могу поспорить, многие даже не знают о том, что это вообще возможно». Но когда Annie похищает ключ, а TalkTalk рекомендует просто перезагрузить роутер, пользователь возвращается к использованию именного того, дефолтного ключа, который уже похитила малварь.
Тирни предупреждает, что зная ключ Wi-Fi, находящийся поблизости атакующий (к примеру, сидящий в припаркованной машине, возле дома жертвы) может прослушивать все коммуникации сети и спровоцировать дополнительное заражение. К тому же, если знать SSID (который Annie тоже похищает), можно воспользоваться базами данных вроде wigle.net, чтобы найти дом жертвы.
По мнению эксперта, единственным решением проблемы может быть только немедленная замена уязвимого оборудования, чего представители TalkTalk явно делать не собираются. Другие специалисты полагают, что с железом все в порядке, и TalkTalk достаточно донести до пользователей необходимость смены пароля от Wi-Fi. Однако это может поставить пользователей под удар фишеров. Как бы TalkTalk ни уведомлял своих клиентов, по телефону или через интернет, мошенники могут притвориться представителями TalkTalk, сослаться на проблему Mirai, о которой многие уже читали в новостях, и обманом вынудить пользователя произвести какие-то действия со своим оборудованием.