Деятельность зомби-сети Mirai продолжается. В октябре мы писали об атаке на DNS-регистратора Dyn – в ноябре его собирался купить Oracle. Дело в том, что код зомби-агента Mirai доступен, поэтому любой недоброжелатель может зомбировать необходимый ему набор компьютеров и атаковать любую цель. Зомби-агентов зафиксировали уже в 164 странах по всему миру. Собственно, именно активность этой сети и сподвигла разработчиков NIST выпустить свой набор стандартов для обеспечения безопасности подключенных к Интернету устройств.
В начале ноября было зафиксировано нападение с помощью агентов Mirai на операторов в восточно-африканской стране Либерии. Есть сведения, что атаку в качестве теста совершила группировка под условным названием «Botnet #14». Дело в том, что страна подключена к Интернету по одному кабелю, который совместно эксплуатируют два провайдера, однако атака на канальное оборудование блокирует доступ с территории целой страны. Объем трафика сети оценивается примерно в 500 Гбит/с.
В конце отчетного месяца армия зомби атаковала немецкого провайдера Deutsche Telekom, причем это была уже не DDoS-атака, а захват домашних широкополосных маршрутизаторов, которые оператор использует для организации доступа пользователей. Зомби Mirai проводили сканирование устройств на уязвимости в протоколе управления TR-064, который работает по порту номер 7547, и, если уязвимость присутствовала, то они захватывали контроль над устройством. Протокол TR-064 Deutsche Telekom использовала для технического управления устройствами, и ее инженеры считали, что пользоваться этим протоколом могут только авторизованные пользователи. Однако хакерам удалось обнаружить уязвимости в протоколе аутентификации и захватить домашние маршрутизаторы с помощью модифицированного зомби-агента Mirai. Уязвимым к этой атаке оказалось большинство используемого компанией оборудования: Eir D-1000 компании ZyXEL, DSL-3780 компании D-Link, а также некоторые модели от T-Com/T-home (SpeedPort), MitraStar и Digicom. В результате этой массовой атаки пострадали в общей сложности около 1 млн немецких пользователей Deutsche Telekom. Вполне возможно, что захваченные таким способом модемы будут в дальнейшем использованы в зомби-сетях для других атак.
Первоисточник: http://www.connect-wit.ru/obzor-zarubezhnoj-pressy-po-tematike-informatsionnoj-bezopasnosti-za-noyabr-bezopasnost-v-ssha.html
Комментариев нет:
Отправить комментарий