新闻快讯
< >

BrickerBot对印度两家ISP发起攻击,6万多台调制调解器受到影响

E安全8月3日讯 BrickerBot恶意软件开发人员声称,印度多地发生网络攻击事件,事件导致6万台调制调解器(猫)和路由器掉线(丢失网络连接)。

!!!!!(加图)BrickerBot对印度两家ISP发起攻击 超过6万台调制调解器受到影响-E安全

这起事件影响了Bharat Sanchar Nigam Limited(BSNL)和Mahanagar Telephone Nigam Limited(MTNL)这两家印度国有电信服务提供商的调制调解器和路由器。

7月25~29日,用户曾报告断网,因为路由器和调制调解器的红色LED灯一直处于打开状态。

网络故障皆因恶意软件攻击而起

BSNL向当地媒体透露,恶意软件导致网络故障。除了用户的路由器,这款恶意软件还影响了BSNL全国网络骨干(National Internet Backbone,NIB)的路由器,但这部分路由器立即得到恢复。

BSNL技术小组一名员工向Deccan Chronicle透露,事件导致印度东北部、北部和南部地区调制调解器丢失网络连接,预计6万台调制调解器掉线,影响了45%的宽带连接。MTNL未提供具体数据。

提醒客户修改默认登录凭证

上周五BSNL表示,这款恶意软件攻击了使用默认登录凭证的调制调解器,之后要求超过2000名用户修改设备的默认登录凭证。

上周日,BSNL总经理K. Ramachand表示,这款恶意软件影响了90%新安装的调制调解器,但并未提供详细数据。

BSNL技术支持团队上周一直忙于帮助用户重置调制调解器和路由器密码,并要求有急需恢复网络的客户到当地办公室让员工帮助重置调制调解器。

BrickerBot开发人员声称是自己所为

上周末,BrickerBot恶意软件的开发人员联系了媒体,并声称这起事件是他所为。

BrickerBot:

一款影响Linux物联网和联网设备的恶意软件。与其它囤积设备组成僵尸网络实施DDoS攻击等恶意软件不同的是,BrickerBot重写Flash存储,使设备变“砖”。大多数情况下,“砖化”效应可以逆转,但在某些情况下却会造成永久性的破坏。

BrickerBot先前接受媒体的采访时表示,他创建并扩散这款恶意软件,目的只是为了引起使用非安全设备ISP的注意。他还想将物联网设备变成“砖”,以便不让这些设备成为物联网DDoS僵尸网络的一部分,他希望今后,设备所有者和互联网服务器提供商谨慎保护设备安全,防止被感染后变“砖”,或遭遇Mirai、Hajime、Imeij、Amnesia、和其它DDoS恶意软件感染。

BrickerBot开发人员通过电子邮件表示,BSNL的设备通常不安全,BSNL将责任归于客户的疏忽,这是对自己设备的安全状况不诚实。

他提到,BSNL几万台调制调解器使用了不受保护的TR069(TR064)接口,允许任何人重新配置设备实施中间人攻击或DNS劫持。受影响的客户无法阻止此类攻击,因为BSNL网络及其设备的设计安全欠佳,这就是为什么迫使客户修改默认密码也无济于事的原因所在。

BrickerBot开发人员还提供了BrickerBot使用BSNL设备中其它硬编码登录凭证(除默认管理员登录凭证)连接到易受攻击设备的技术细节。

QQ截图20170801180419.jpg

ISP将7547端口暴露在公网上

BrickerBot开发人员(他喜欢使用化名“The Doctor”)还指出,BSNL和MTNL遭遇这起网络攻击的原因,还在于这两大ISP允许他人通过7547端口连接到它们的网络。

7547端口是TR069使用的端口。TR069是ISP用来发送命令并管理客户家中路由器的管理协议。

BSNL和MTNL允许任何人通过7547端口连接到它们内部网络的路由器和调制调解器。TR069易遭受各种安全漏洞攻击,允许攻击者在设备上执行代码。

开放的TR069端口和某些设备中的硬编码登录信息允许BrickerBot上周对这两家印度ISP造成严重破坏。

ISP过滤7547端口后,攻击停止

这两大提供商过滤7547端口后,这起攻击在上周末终于消停。安全研究人员@ntuples(twitter用户名)发现这起事件之后,暴露的设备急剧减少。

BrickerBot开发人员表示,这起针对印度电信服务提供商的攻击无关乎政治,因为他担心印度当局可能指责巴基斯坦。他提醒网络服务提供商过滤客户设备的控制端口。但他警告称巴基斯坦电信公司(PTCL)网络中同样存在暴露的设备。

“The Doctor”的“治疗”之路

“The Doctor”表示,物联网僵尸网络的大规模扫描行为一直在下降,单纯通过被动监听检测不安全的IP地址范围更加不切实际。

他表示,ISP设备上不安全的TR069接口令人担忧。

4月底他执行了大规模攻击测试以提醒全球用户TR069接口存在风险,最近他又通过一些新的实验有效载荷再次发起攻击。他的目标是让最糟糕的1-2%的路由IP空间倍感压力,希望通过他的攻击行为,让诸如BSNL这类ISP引起重视,并改进边缘/核心路由器过滤。

BSNL和MTNL客户很幸运,因为他们的设备能被恢复,没有遭受永久性破坏。前几个月,受BrickerBot感染的设备却无法恢复,永久变成了“砖”。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。