超強惡意軟體大鬧印度，45%的寬頻鏈接受影響

關注E安全 關注網路安全一手資訊

E安全8月2日訊 BrickerBot惡意軟體開發人員聲稱，印度多地發生網路攻擊事件，事件導致6萬台調製調解器（貓）和路由器掉線（丟失網路連接）。

這起事件影響了Bharat Sanchar Nigam Limited（BSNL）和Mahanagar Telephone Nigam Limited（MTNL）這兩家印度國有電信服務提供商的調製調解器和路由器。

7月25~29日，用戶曾報告斷網，因為路由器和調製調解器的紅色LED燈一直處於打開狀態。

網路故障皆因惡意軟體攻擊而起

BSNL向當地媒體透露，惡意軟體導致網路故障。除了用戶的路由器，這款惡意軟體還影響了BSNL全國網路骨幹（National Internet Backbone，NIB）的路由器，但這部分路由器立即得到恢復。

BSNL技術小組一名員工向Deccan Chronicle透露，事件導致印度東北部、北部和南部地區調製調解器丟失網路連接，預計6萬台調製調解器掉線，影響了45%的寬頻連接。MTNL未提供具體數據。

提醒客戶修改默認登錄憑證

上周五BSNL表示，這款惡意軟體攻擊了使用默認登錄憑證的調製調解器，之後要求超過2000名用戶修改設備的默認登錄憑證。

上周日，BSNL總經理K. Ramachand表示，這款惡意軟體影響了90%新安裝的調製調解器，但並未提供詳細數據。

BSNL技術支持團隊上周一直忙於幫助用戶重置調製調解器和路由器密碼，並要求有急需恢復網路的客戶到當地辦公室讓員工幫助重置調製調解器。

BrickerBot開發人員聲稱是自己所為

上周末，BrickerBot惡意軟體的開發人員聯繫了媒體，並聲稱這起事件是他所為。

BrickerBot：

一款影響Linux物聯網和聯網設備的惡意軟體。與其它囤積設備組成殭屍網路實施DDoS攻擊等惡意軟體不同的是，BrickerBot重寫Flash存儲，使設備變「磚」。大多數情況下，「磚化」效應可以逆轉，但在某些情況下卻會造成永久性的破壞。

BrickerBot先前接受媒體的採訪時表示，他創建並擴散這款惡意軟體，目的只是為了引起使用非安全設備ISP的注意。他還想將物聯網設備變成「磚」，以便不讓這些設備成為物聯網DDoS殭屍網路的一部分，他希望今後，設備所有者和互聯網伺服器提供商謹慎保護設備安全，防止被感染後變「磚」，或遭遇Mirai、Hajime、Imeij、Amnesia、和其它DDoS惡意軟體感染。

BrickerBot開發人員通過電子郵件表示，BSNL的設備通常不安全，BSNL將責任歸於客戶的疏忽，這是對自己設備的安全狀況不誠實。

他提到，BSNL幾萬台調製調解器使用了不受保護的TR069（TR064）介面，允許任何人重新配置設備實施中間人攻擊或DNS劫持。受影響的客戶無法阻止此類攻擊，因為BSNL網路及其設備的設計安全欠佳，這就是為什麼迫使客戶修改默認密碼也無濟於事的原因所在。

BrickerBot開發人員還提供了BrickerBot使用BSNL設備中其它硬編碼登錄憑證（除默認管理員登錄憑證）連接到易受攻擊設備的技術細節。

ISP將7547埠暴露在公網上

BrickerBot開發人員（他喜歡使用化名「The Doctor」）還指出，BSNL和MTNL遭遇這起網路攻擊的原因，還在於這兩大ISP允許他人通過7547埠連接到它們的網路。

7547埠是TR069使用的埠。TR069是ISP用來發送命令並管理客戶家中路由器的管理協議。

BSNL和MTNL允許任何人通過7547埠連接到它們內部網路的路由器和調製調解器。TR069易遭受各種安全漏洞攻擊，允許攻擊者在設備上執行代碼。

開放的TR069埠和某些設備中的硬編碼登錄信息允許BrickerBot上周對這兩家印度ISP造成嚴重破壞。

ISP過濾7547埠後，攻擊停止

這兩大提供商過濾7547埠後，這起攻擊在上周末終於消停。安全研究人員@ntuples（twitter用戶名）發現這起事件之後，暴露的設備急劇減少。

BrickerBot開發人員表示，這起針對印度電信服務提供商的攻擊無關乎政治，因為他擔心印度當局可能指責巴基斯坦。他提醒網路服務提供商過濾客戶設備的控制埠。但他警告稱巴基斯坦電信公司（PTCL）網路中同樣存在暴露的設備。

「The Doctor」的「治療」之路

「The Doctor」表示，物聯網殭屍網路的大規模掃描行為一直在下降，單純通過被動監聽檢測不安全的IP地址範圍更加不切實際。

他表示，ISP設備上不安全的TR069介面令人擔憂。

4月底他執行了大規模攻擊測試以提醒全球用戶TR069介面存在風險，最近他又通過一些新的實驗有效載荷再次發起攻擊。他的目標是讓最糟糕的1-2%的路由IP空間倍感壓力，希望通過他的攻擊行為，讓諸如BSNL這類ISP引起重視，並改進邊緣/核心路由器過濾。

BSNL和MTNL客戶很幸運，因為他們的設備能被恢復，沒有遭受永久性破壞。前幾個月，受BrickerBot感染的設備卻無法恢復，永久變成了「磚」。

03

E安全推薦文章

官網：www.easyaq.com

2017年8月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！