DDoS僵尸网络的巨大努力正在招募澳大利亚路由器

根据安全公司Flashpoint的说法,旨在构建一个大规模僵尸网络以发起付费流量攻击的新攻击很可能已经招募了位于澳大利亚的脆弱路由器。

宽带中断影响了德国电信Deutsch Telekom的90万客户 本星期 已将潜在的五百万个家用路由器共有的新漏洞集中到了一起,该漏洞可能被网络犯罪分子招募为出租武器,以淹没付费客户想要离线的任何站点。

哔哔电脑 上周报道 有两个黑客声称拥有大约40万个互联网连接设备的僵尸网络,这些僵尸网络使用来自称为Mirai的恶意软件的代码进行控制。母板 今天报道 这两个使用笔名BestBuy和Popopret的黑客声称,无意中使Deutsche Telekom的客户脱机。

最初的Mirai僵尸网络使用受损的网络摄像头和数字录像机来获取带宽,从而以前所未有的规模袭击了安全网站Krebs on 安全和法国ISP OVH。本月初,它还通过攻击托管DNS提供商Dyn取消了对Twitter,Spotify和其他主要网站的访问。

该源代码是最近开放源代码的,可供任何热衷于创建或增强“压力大”业务的犯罪企业家使用,只要客户支付所需费用,便可以租用僵尸网络来关闭任何网站。

本周的德国电信事件不是对运营商的分布式拒绝服务(DDoS)攻击,而是明显的未能感染其客户家用路由器的努力。

几位研究人员已经证实,攻击不仅限于德国电信的客户路由器,而且该恶意软件(Mirai的更新版本)正在利用最近披露的路由器漏洞来利用称为TR-069的消息传递标准。该标准由宽带论坛发布,某些成员ISP使用该标准来服务家用路由器设备。很重要 世界上数十个最大的ISP, 包括Telstra在内。

据SANS Internet Storm Center称,易受攻击的路由器包括某些型号的德国电信的Speedport路由器,以及由爱尔兰ISP Eir分发的Zyxel制造的路由器。其他几个品牌也受到影响。

过去一个月一直在追踪Mirai的安全公司Flashpoint周二表示,敌对帮派之间已经发生了“草皮战争”,他们使用的开源Mirai代码首次出现在黑客巢穴Hackforums中。

“在Mirafor的源代码及其开发载体在hackforums.net上发布后,情况发生了巨大变化,尝试利用相同IoT设备池的独立Mirai运营商的数量随之增加,”该公司 .

“一场草皮战争随之而来,Mirai僵尸网络发起的大多数攻击的总体规模比原始破纪录的攻击要小得多。该恶意软件发展过程中自然要采取的下一步行动是让犯罪分子将Mirai有效负载与其传播机制分离开来,并使用不同的传播机制。”

这种“脱钩”表现在对德国电信客户路由器以及其他ISP路由器的攻击中。虽然原始Mirai在连接互联网的设备上利用了默认密码,但本周观察到的Mirai版本却利用了一个漏洞。

研究人员现在要问的一个问题是,有多少种设备被黑客入侵,有多少种可能被黑客入侵。对Krebs网站的攻击峰值达到每秒600吉比特,据估计,该攻击依赖数十万台被黑设备。相比之下,Mirai的新变种可能暴露的路由器数量高达4000万。

SAN研究所的Johannes Ullrich指出,并不是所有的4000万恶意软件都将包含此漏洞,但是,本周全球对路由器的攻击可能会在特定的Mirai僵尸网络中增加一到两百万个新的僵尸程序, 他说.

乌尔里希还指出,研究表明英国ISP TalkTalk使用的调制解调器以及一些D-Link调制解调器以及MitraStar,Digicom和Aztech制造的调制解调器都是脆弱的。到目前为止,已经发现了大约40种易受攻击的路由器模型。

Flashpoint还表示,有信心Mirai会破坏澳大利亚,阿根廷,巴西,智利,德国,伊朗,意大利,土耳其,泰国和英国的路由器。

版权© 2016 IDG通讯,Inc.