Создатель вредоноса BrickerBot продолжает поддерживать эксклюзивную связь с журналистами издания Bleeping Computer.
Ранее разработчик малвари умышленно «калечащей» IoT-устройства, известный под псевдонимом janit0r или The Doctor, уже давал изданию эксклюзивное интервью. Тогда хакер рассказывал, что рассматривает BrickerBot как форму “химиотерапии для интернета”, а о себе самом иногда в шутку думает как о Докторе. «Химиотерапия – это жесткое лечение и никто в трезвом уме не назначит ее здоровому пациенту, но интернет серьезно заболел в третьем и четвертом квартале 2016 года, а обычных средств оказалось недостаточно», — говорил хакер, ничуть не сожалея о сотнях тысяч сломанных его малварью устройств.
Теперь janit0r рассказал о новых атаках, на этот раз направленных на двух государственных индийских провайдеров: Bharat Sanchar Nigam Limited (BSNL) и Mahanagar Telephone Nigam Limited (MTNL). С 25 по 29 июля 2017 года пользователи этих компаний массово жаловались на постоянные потери соединения, тогда как их модемы и роутеры «зависали», демонстрируя непрерывно горящие красные светодиоды.
Представители BSNL уже сообщили местной прессе (1,2,3), что проблемы со связью были вызваны атакой некой малвари. В результате инцидента пострадали пользователи на севере, северо-востоке и юге Индии. Компания сообщала, что перебои наблюдались в работе 60 000 устройств, то есть затронули 45% всех широкополосных соединений BSNL. Представители MTNL также подтвердили, что их устройства находятся под атакой, однако не сообщили каких-либо подробностей или цифр. Зато об атаках на BSNL известно немало.
28 июля 2017 года, в прошлую пятницу, представители BSNL сообщали, под атакой находятся только те модемы, пользователи которых не поменяли логин и пароль по умолчанию (admin/admin). Из-за этого примерно 2000 клиентов провайдера попросили срочно сменить учетные данные.
30 июля 2017 года, информация, поступающая от BSNL, изменилась. Оказалось, что малварь поразила 90% всех недавно установленных модемов с дефолтными логинами и паролями (точное количество пострадавших устройств не сообщалось).
Пока службы технической поддержки BSNL и MTNL пытались справиться со шквалом обращений и все выходные помогали пользователям сбрасывать модемы и роутеры к заводским настройками, janit0r связался с журналистами Bleeping Computer и взял ответственность за происходящее на себя. Разработчик BrickerBot предоставил журналистам и другие учетные данные от устройств BSNL, помимо admin/admin, публиковать которые ресурс не посчитал нужным.
«Устройства BSNL небезопасны в целом и [представители] BSNL не хотят честно говорить о ситуации, обвиняя своих клиентов в халатности, — пишет janit0r и говорит, что изменение логина и пароля по умолчанию не поможет. — Им принадлежат сотни тысяч модемов с незащищенными интерфейсами TR069 (TR064), которые позволяют кому угодно перенастроить устройство для man-in-the-middle атак или атак на DNS. Пострадавшие пользователи не могли противопоставить подобным атакам практически ничего, так как сеть BSNL и их оборудование небезопасны по своей сути».
Также автор малвари указал и на корень проблемы. Дело в том, что устройства BSNL и MTNL разрешают подключения к порту 7547, который используется для работы TR069, протокола, посредством которого сотрудники компании-провайдера могут передавать команды устройству и изменять его настройки. Фактически любой желающий может подключиться к порту 7547 и атаковать устройства в сетях BSNL и MTNL. Более того, хакер напоминает, что TR069 имеет ряд уязвимостей, включая проблему, допускающую выполнение на устройстве произвольного кода.
«Атака на индийских провайдеров не имеет никакого отношения к политике или национальности. Это лишь побочный эффект от операции по очистке мировой сети от уязвимых сетевых устройств. Интернет-провайдеры, пожалуйста, фильтруйте порты пользовательских устройств. Ваши клиенты заслуживают безопасности, а я заслуживаю перерыва в уборке вашего IoT-мусора!», — заявляет janit0r.
В заключение создатель BrickerBot сообщил, что у него «на примете» уже есть новая жертва. По его словам, пакистанская компания Pakistan Telecommunication Company Limited (PTCL) следит за безопасностью своих устройств еще хуже, чем BSNL.