德國電信遭黑客攻擊：90萬路由器下線 大量用戶無法訪問互聯(lián)網(wǎng)

德國電信近日遭遇網(wǎng)絡攻擊，超90萬路由器無法聯(lián)網(wǎng)，德國電信方面已經(jīng)確認了此事。斷網(wǎng)事故始于當?shù)貢r間11月27日（周日）17：00左右，持續(xù)數(shù)個小時。周一上午08：00，再次出現(xiàn)斷網(wǎng)問題。除了聯(lián)網(wǎng)服務外，德國電信用戶還用這些路由器來連接電話和電視服務。

事件影響全國范圍內的眾多用戶，具體影響范圍如下圖所示：

當?shù)貢r間周一12：00，德國電信在Facebook上放出通告稱，其2千萬用戶已將問題解決，但其用戶反映無法聯(lián)網(wǎng)的問題依舊存在。

到底發(fā)生了什么？

根據(jù)德國媒體abendblatt.de報道：

“德國聯(lián)邦信息技術安全局（BSI）發(fā)現(xiàn)，在某個全球范圍內的攻擊發(fā)生之后，德國電信路由器出現(xiàn)了無法聯(lián)網(wǎng)的問題?！?/p>

“根據(jù)BSI的說法，在受保護的政府網(wǎng)絡中也發(fā)生了上述攻擊，但得益于有效的保護措施，政府網(wǎng)絡受到的攻擊被擊退?！蹦壳暗聡娦挪⑽刺峁┕舻募夹g細節(jié)，也沒有透露受影響的路由器型號。目前尚不清楚，哪種威脅攻擊了德國電信的路由器，專家推測可能有惡意軟件劫持了路由器，阻止路由器聯(lián)網(wǎng)——推測此惡意軟件為Mirai的變種，甚至還將這些路由器都變身為僵尸網(wǎng)絡的一員。

來自SANS Institute的報道，目前德國電信和路由器供應商已聯(lián)合開發(fā)并發(fā)布固件補丁。

德國電信客服部門建議用戶斷開設備，等待30秒，重啟路由器。在啟動過程中，路由器將從德國電信服務器上下載最新固件。如果這個方法無法讓路由器恢復連接，那么建議將路由器從德國電信網(wǎng)絡徹底斷開。

除此之外，德國電信還提供免費移動網(wǎng)絡，直至技術問題解決為止。

相關分析

實際上德國電信并沒有公布這次網(wǎng)絡攻擊的技術細節(jié)，甚至連究竟有哪些路由器受到影響都沒提。有專家推測這次的攻擊應該是惡意軟件阻止了哪些路由器連接到德國電信的網(wǎng)絡。

不過SANS ISC的安全專家周一早晨發(fā)布了一篇報告，其中提到針對Speedport路由器的7547端口進行SOAP遠程代碼執(zhí)行漏洞的掃描和利用，近期發(fā)生了急劇增長。而Speedport路由器正是德國電信用戶廣泛使用的型號。

報告中還說，德國電信與Eircom（愛爾蘭運營商）為用戶提供的路由器都存在漏洞——這些路由器是由Zyxel和Speedport制造的，另外可能還有其他制造商。

這些設備將互聯(lián)網(wǎng)端口7547暴露給外部網(wǎng)絡，漏洞利用過程基于TR-069和相關的TR-064協(xié)議來發(fā)出命令，原本ISP運營商是用這些協(xié)議來遠程管理大量硬件設備的。

“過去幾天中，對7647端口的攻擊大大增多。這些掃描似乎利用了流行的DSL路由器中的漏洞。這個問題可能已經(jīng)導致德國ISP運營商德國電信出現(xiàn)嚴重問題，并可能影響其他人（考慮到美國那邊還是周末）。對于德國電信，Speedport路由器似乎是這次事件的主要問題。

“通過Shodan搜索，可以發(fā)現(xiàn)目前約4100萬個設備開放7547端口。代碼似乎是來自Mirai僵尸網(wǎng)絡。目前，從蜜罐服務器的數(shù)據(jù)來看，針對每個目標IP，每5-10分鐘就會收到一個請求。”

以下是安全專家捕獲的請求：

根據(jù)SANS ISC發(fā)布的報告，攻擊者試圖利用TR-069配置協(xié)議中的一個漏洞。專家表示可利用一個Metasploit模塊，實現(xiàn)該漏洞的利用。POC如下所示：

https://www.exploit-db.com/exploits/40740/

其實在本月月初的時候，就有研究人員公布了利用TR-064服務的攻擊代碼。作為Metasploit開發(fā)框架的模塊，攻擊代碼會開啟遠程管理web界面的80端口。那些用了默認或者弱密碼的設備，就會被遠程利用，加入到僵尸網(wǎng)絡中，發(fā)起DoS攻擊了。

又和Mirai僵尸網(wǎng)絡有關

來自BadCyber的研究人員分析了攻擊中的惡意payload，發(fā)現(xiàn)就是源自于一臺已知的Mirai C&C服務器。

“利用TR-064命令在路由器上執(zhí)行代碼，是直到本月11月初的研究報告才第一次提到的，幾天之后就有相關的Metasploit模塊出現(xiàn)了。似乎就是有人要將它打造成武器，基于Mirai代碼構建互聯(lián)網(wǎng)蠕蟲?！?/p>

為了感染盡可能多的路由器，惡意程序包含了3個獨立的利用文件，其中兩個為那些采用MIPS芯片的設備準備，另外一個則是針對采用ARM芯片的路由器。惡意payload利用漏洞來開啟遠程管理界面，然后使用3個不同的默認密碼來嘗試登錄。

攻擊過程隨后會關閉7547端口，以阻止其他惡意程序控制設備。

busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP

busybox killall -9 telnetd

其上第一條命令關閉了7547端口，而第二條命令則是禁用了telnet服務——這樣一來ISP運營商要進行設備遠程升級也就有難度了。

代碼中的登錄用戶名和密碼經(jīng)過了混淆，和Mirai所用的算法一致。C&C服務器也在timeserver.host域名下——這也是臺Mirai服務器。而且連掃描IP的偽隨機算法，看起來都直接復制了Mirai的源碼。

“看起來這款惡意程序的作者照搬了Mirai代碼，將之與其Metasploit模塊進行了融合，最終產出了這款蠕蟲。”

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。