Новий варіант Mirai "викрав маршрутизатори TalkTalk для ботнету"

шкідливих програм

99% маршрутизаторів ботнету належить TalkTalk, вважає Imperva

Дослідники з безпеки в Імперва вчора сказав що ряд домашніх маршрутизаторів був викрадений новим ботнетом на базі Mirai, причому 99% з них належать клієнтам TalkTalk.

Напади, здається, скористалися новою вразливістю TR-064, і дослідники сказали, що це може бути "загрозою для клієнтів провайдерів по всьому світу".

TR-064 - це протокол, який приймає більшість інтернет-провайдерів при віддаленій роботі маршрутизаторів, і використовує порт 7547 для отримання віддалених команд.

Imperva сказав: “Однією з таких команд є Time / SetNTPServers, які використовуються для синхронізації маршрутизатора з зовнішнім джерелом часу. Проте ця команда також може бути змінена, щоб хакери могли віддалено виконувати команди bash.

Хоча фірма безпеки не знайшла жодного маршрутизатора з відкритими портами 7574, він виявив, що деякі порти були залишені відкритими до кількох днів тому.

Кажуть, що всі пристрої ботнету, що атакують 2,398, розташовані у Великобританії.

Imperva сказав: «Цей тип розповсюдження IP-адрес є незвичайним для бот-мереж DDoS. Як правило, це вказує на уразливість пристрою, що поставляється місцевими роздрібними продавцями, що дозволяє з'являтися в такому регіональному бот-мережі ».

Компанія також виявила, що один з своїх клієнтів, компанія Bitcoin, постраждав від серії нападів GET і POST на грудень 5.

Імперва сказав, що важко точно знати, чи є зловмисне програмне забезпечення, яке напало на ці домашні маршрутизатори TalkTalk, той самий варіант Mirai, який використовувався на нападі Deutsche Telekom минулого тижня.

"Наполеність порушників, а також його вибір цілей, показують, що це є навмисним наступом, а не типовим випадковим вибухом, запущеним з орендованої послуги DDoS-for-hire", - сказали дослідники.

За словами Imperva, TalkTalk знає про напад та виправляє вразливість TR-064 і видає виправлення для цієї вразливості.

Про це повідомила прес-секретар TalkTalk у повідомленні, надісланому електронною поштою IT Pro: “Разом з іншими провайдерами послуг у Великій Британії та за кордоном, ми продовжуємо вживати заходів для перегляду потенційних наслідків черв'яка Mirai. Невелике число маршрутизаторів клієнтів постраждало від цієї проблеми. Ми досягли значного прогресу в їх усуненні та продовжуємо розгортати додаткові засоби контролю на рівні мережі для подальшого захисту наших клієнтів ».

джерело

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.