德國電信遭黑客攻擊：90萬路由器下線 大量用戶無法訪問互聯(lián)網(wǎng)

德國電信近日遭遇網(wǎng)絡(luò)攻擊，超90萬路由器無法聯(lián)網(wǎng)，德國電信方面已經(jīng)確認(rèn)了此事。斷網(wǎng)事故始于當(dāng)?shù)貢r(shí)間11月27日（周日）17：00左右，持續(xù)數(shù)個(gè)小時(shí)。周一上午08：00，再次出現(xiàn)斷網(wǎng)問題。除了聯(lián)網(wǎng)服務(wù)外，德國電信用戶還用這些路由器來連接電話和電視服務(wù)。

事件影響全國范圍內(nèi)的眾多用戶，具體影響范圍如下圖所示：

當(dāng)?shù)貢r(shí)間周一12：00，德國電信在Facebook上放出通告稱，其2千萬用戶已將問題解決，但其用戶反映無法聯(lián)網(wǎng)的問題依舊存在。

到底發(fā)生了什么？

根據(jù)德國媒體abendblatt.de報(bào)道：

“德國聯(lián)邦信息技術(shù)安全局（BSI）發(fā)現(xiàn)，在某個(gè)全球范圍內(nèi)的攻擊發(fā)生之后，德國電信路由器出現(xiàn)了無法聯(lián)網(wǎng)的問題?！?/p>

“根據(jù)BSI的說法，在受保護(hù)的政府網(wǎng)絡(luò)中也發(fā)生了上述攻擊，但得益于有效的保護(hù)措施，政府網(wǎng)絡(luò)受到的攻擊被擊退。”目前德國電信并未提供攻擊的技術(shù)細(xì)節(jié)，也沒有透露受影響的路由器型號。目前尚不清楚，哪種威脅攻擊了德國電信的路由器，專家推測可能有惡意軟件劫持了路由器，阻止路由器聯(lián)網(wǎng)——推測此惡意軟件為Mirai的變種，甚至還將這些路由器都變身為僵尸網(wǎng)絡(luò)的一員。

來自SANS Institute的報(bào)道，目前德國電信和路由器供應(yīng)商已聯(lián)合開發(fā)并發(fā)布固件補(bǔ)丁。

德國電信客服部門建議用戶斷開設(shè)備，等待30秒，重啟路由器。在啟動過程中，路由器將從德國電信服務(wù)器上下載最新固件。如果這個(gè)方法無法讓路由器恢復(fù)連接，那么建議將路由器從德國電信網(wǎng)絡(luò)徹底斷開。

除此之外，德國電信還提供免費(fèi)移動網(wǎng)絡(luò)，直至技術(shù)問題解決為止。

相關(guān)分析

實(shí)際上德國電信并沒有公布這次網(wǎng)絡(luò)攻擊的技術(shù)細(xì)節(jié)，甚至連究竟有哪些路由器受到影響都沒提。有專家推測這次的攻擊應(yīng)該是惡意軟件阻止了哪些路由器連接到德國電信的網(wǎng)絡(luò)。

不過SANS ISC的安全專家周一早晨發(fā)布了一篇報(bào)告，其中提到針對Speedport路由器的7547端口進(jìn)行SOAP遠(yuǎn)程代碼執(zhí)行漏洞的掃描和利用，近期發(fā)生了急劇增長。而Speedport路由器正是德國電信用戶廣泛使用的型號。

報(bào)告中還說，德國電信與Eircom（愛爾蘭運(yùn)營商）為用戶提供的路由器都存在漏洞——這些路由器是由Zyxel和Speedport制造的，另外可能還有其他制造商。

這些設(shè)備將互聯(lián)網(wǎng)端口7547暴露給外部網(wǎng)絡(luò)，漏洞利用過程基于TR-069和相關(guān)的TR-064協(xié)議來發(fā)出命令，原本ISP運(yùn)營商是用這些協(xié)議來遠(yuǎn)程管理大量硬件設(shè)備的。

“過去幾天中，對7647端口的攻擊大大增多。這些掃描似乎利用了流行的DSL路由器中的漏洞。這個(gè)問題可能已經(jīng)導(dǎo)致德國ISP運(yùn)營商德國電信出現(xiàn)嚴(yán)重問題，并可能影響其他人（考慮到美國那邊還是周末）。對于德國電信，Speedport路由器似乎是這次事件的主要問題。

“通過Shodan搜索，可以發(fā)現(xiàn)目前約4100萬個(gè)設(shè)備開放7547端口。代碼似乎是來自Mirai僵尸網(wǎng)絡(luò)。目前，從蜜罐服務(wù)器的數(shù)據(jù)來看，針對每個(gè)目標(biāo)IP，每5-10分鐘就會收到一個(gè)請求?！?/p>

以下是安全專家捕獲的請求：

根據(jù)SANS ISC發(fā)布的報(bào)告，攻擊者試圖利用TR-069配置協(xié)議中的一個(gè)漏洞。專家表示可利用一個(gè)Metasploit模塊，實(shí)現(xiàn)該漏洞的利用。POC如下所示：

https://www.exploit-db.com/exploits/40740/

其實(shí)在本月月初的時(shí)候，就有研究人員公布了利用TR-064服務(wù)的攻擊代碼。作為Metasploit開發(fā)框架的模塊，攻擊代碼會開啟遠(yuǎn)程管理web界面的80端口。那些用了默認(rèn)或者弱密碼的設(shè)備，就會被遠(yuǎn)程利用，加入到僵尸網(wǎng)絡(luò)中，發(fā)起DoS攻擊了。

又和Mirai僵尸網(wǎng)絡(luò)有關(guān)

來自BadCyber的研究人員分析了攻擊中的惡意payload，發(fā)現(xiàn)就是源自于一臺已知的Mirai C&C服務(wù)器。

“利用TR-064命令在路由器上執(zhí)行代碼，是直到本月11月初的研究報(bào)告才第一次提到的，幾天之后就有相關(guān)的Metasploit模塊出現(xiàn)了。似乎就是有人要將它打造成武器，基于Mirai代碼構(gòu)建互聯(lián)網(wǎng)蠕蟲?！?/p>

為了感染盡可能多的路由器，惡意程序包含了3個(gè)獨(dú)立的利用文件，其中兩個(gè)為那些采用MIPS芯片的設(shè)備準(zhǔn)備，另外一個(gè)則是針對采用ARM芯片的路由器。惡意payload利用漏洞來開啟遠(yuǎn)程管理界面，然后使用3個(gè)不同的默認(rèn)密碼來嘗試登錄。

攻擊過程隨后會關(guān)閉7547端口，以阻止其他惡意程序控制設(shè)備。

busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP

busybox killall -9 telnetd

其上第一條命令關(guān)閉了7547端口，而第二條命令則是禁用了telnet服務(wù)——這樣一來ISP運(yùn)營商要進(jìn)行設(shè)備遠(yuǎn)程升級也就有難度了。

代碼中的登錄用戶名和密碼經(jīng)過了混淆，和Mirai所用的算法一致。C&C服務(wù)器也在timeserver.host域名下——這也是臺Mirai服務(wù)器。而且連掃描IP的偽隨機(jī)算法，看起來都直接復(fù)制了Mirai的源碼。

“看起來這款惡意程序的作者照搬了Mirai代碼，將之與其Metasploit模塊進(jìn)行了融合，最終產(chǎn)出了這款蠕蟲。”

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。