查看原文
其他

超强恶意软件大闹印度,45%的宽带链接受影响

2017-08-03 E安全编辑部 E安全

关注E安全 关注网络安全一手资讯

E安全8月2日讯 BrickerBot恶意软件开发人员声称,印度多地发生网络攻击事件,事件导致6万台调制调解器(猫)和路由器掉线(丢失网络连接)。

这起事件影响了Bharat Sanchar Nigam Limited(BSNL)和Mahanagar Telephone Nigam Limited(MTNL)这两家印度国有电信服务提供商的调制调解器和路由器。

7月25~29日,用户曾报告断网,因为路由器和调制调解器的红色LED灯一直处于打开状态。

网络故障皆因恶意软件攻击而起


BSNL向当地媒体透露,恶意软件导致网络故障。除了用户的路由器,这款恶意软件还影响了BSNL全国网络骨干(National Internet Backbone,NIB)的路由器,但这部分路由器立即得到恢复。

BSNL技术小组一名员工向Deccan Chronicle透露,事件导致印度东北部、北部和南部地区调制调解器丢失网络连接,预计6万台调制调解器掉线,影响了45%的宽带连接。MTNL未提供具体数据。

提醒客户修改默认登录凭证

上周五BSNL表示,这款恶意软件攻击了使用默认登录凭证的调制调解器,之后要求超过2000名用户修改设备的默认登录凭证。

上周日,BSNL总经理K. Ramachand表示,这款恶意软件影响了90%新安装的调制调解器,但并未提供详细数据。

BSNL技术支持团队上周一直忙于帮助用户重置调制调解器和路由器密码,并要求有急需恢复网络的客户到当地办公室让员工帮助重置调制调解器。

BrickerBot开发人员声称是自己所为


上周末,BrickerBot恶意软件的开发人员联系了媒体,并声称这起事件是他所为。

BrickerBot:

一款影响Linux物联网和联网设备的恶意软件。与其它囤积设备组成僵尸网络实施DDoS攻击等恶意软件不同的是,BrickerBot重写Flash存储,使设备变“砖”。大多数情况下,“砖化”效应可以逆转,但在某些情况下却会造成永久性的破坏。

BrickerBot先前接受媒体的采访时表示,他创建并扩散这款恶意软件,目的只是为了引起使用非安全设备ISP的注意。他还想将物联网设备变成“砖”,以便不让这些设备成为物联网DDoS僵尸网络的一部分,他希望今后,设备所有者和互联网服务器提供商谨慎保护设备安全,防止被感染后变“砖”,或遭遇Mirai、Hajime、Imeij、Amnesia、和其它DDoS恶意软件感染。

BrickerBot开发人员通过电子邮件表示,BSNL的设备通常不安全,BSNL将责任归于客户的疏忽,这是对自己设备的安全状况不诚实。

他提到,BSNL几万台调制调解器使用了不受保护的TR069(TR064)接口,允许任何人重新配置设备实施中间人攻击或DNS劫持。受影响的客户无法阻止此类攻击,因为BSNL网络及其设备的设计安全欠佳,这就是为什么迫使客户修改默认密码也无济于事的原因所在。

BrickerBot开发人员还提供了BrickerBot使用BSNL设备中其它硬编码登录凭证(除默认管理员登录凭证)连接到易受攻击设备的技术细节。

ISP将7547端口暴露在公网上

BrickerBot开发人员(他喜欢使用化名“The Doctor”)还指出,BSNL和MTNL遭遇这起网络攻击的原因,还在于这两大ISP允许他人通过7547端口连接到它们的网络。

7547端口是TR069使用的端口。TR069是ISP用来发送命令并管理客户家中路由器的管理协议。

BSNL和MTNL允许任何人通过7547端口连接到它们内部网络的路由器和调制调解器。TR069易遭受各种安全漏洞攻击,允许攻击者在设备上执行代码。

开放的TR069端口和某些设备中的硬编码登录信息允许BrickerBot上周对这两家印度ISP造成严重破坏。

ISP过滤7547端口后,攻击停止

这两大提供商过滤7547端口后,这起攻击在上周末终于消停。安全研究人员@ntuples(twitter用户名)发现这起事件之后,暴露的设备急剧减少。

BrickerBot开发人员表示,这起针对印度电信服务提供商的攻击无关乎政治,因为他担心印度当局可能指责巴基斯坦。他提醒网络服务提供商过滤客户设备的控制端口。但他警告称巴基斯坦电信公司(PTCL)网络中同样存在暴露的设备。

“The Doctor”的“治疗”之路

“The Doctor”表示,物联网僵尸网络的大规模扫描行为一直在下降,单纯通过被动监听检测不安全的IP地址范围更加不切实际。

他表示,ISP设备上不安全的TR069接口令人担忧。

4月底他执行了大规模攻击测试以提醒全球用户TR069接口存在风险,最近他又通过一些新的实验有效载荷再次发起攻击。他的目标是让最糟糕的1-2%的路由IP空间倍感压力,希望通过他的攻击行为,让诸如BSNL这类ISP引起重视,并改进边缘/核心路由器过滤。

BSNL和MTNL客户很幸运,因为他们的设备能被恢复,没有遭受永久性破坏。前几个月,受BrickerBot感染的设备却无法恢复,永久变成了“砖”。

03
E安全推荐文章

官网:www.easyaq.com

2017年8月

01坏消息!FCC默许美国ISP在未经批准之情况下出售用户数据!
02Recorded Futre:朝鲜指向中国与印度的互联网连接剖析
03印度军方计划培养5000名网络士兵,负责电子、情报与无人机监控
04实名制为黑客预留了一扇门 印度1.35亿公民信息与1亿条银行账户被泄
05向政府兜售黑客技术,这个“印度斯诺登”玩得有点high!
06印度驻6国大使馆员工数据被黑客泄露
07印度国家银行因ATM恶意软件停用超过60万借记卡


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存