BrickerBot惡意軟件開發(fā)人員聲稱，印度多地發(fā)生網(wǎng)絡(luò)攻擊事件，事件導(dǎo)致6萬臺調(diào)制調(diào)解器(貓)和路由器掉線(丟失網(wǎng)絡(luò)連接)。

!!!!!(加圖)BrickerBot對印度兩家ISP發(fā)起攻擊 超過6萬臺調(diào)制調(diào)解器受到影響-E安全

這起事件影響了Bharat Sanchar Nigam Limited(BSNL)和Mahanagar Telephone Nigam Limited(MTNL)這兩家印度國有電信服務(wù)提供商的調(diào)制調(diào)解器和路由器。

7月25~29日，用戶曾報告斷網(wǎng)，因?yàn)槁酚善骱驼{(diào)制調(diào)解器的紅色LED燈一直處于打開狀態(tài)。

網(wǎng)絡(luò)故障皆因惡意軟件攻擊而起

BSNL向當(dāng)?shù)孛襟w透露，惡意軟件導(dǎo)致網(wǎng)絡(luò)故障。除了用戶的路由器，這款惡意軟件還影響了BSNL全國網(wǎng)絡(luò)骨干(National Internet Backbone，NIB)的路由器，但這部分路由器立即得到恢復(fù)。

BSNL技術(shù)小組一名員工向Deccan Chronicle透露，事件導(dǎo)致印度東北部、北部和南部地區(qū)調(diào)制調(diào)解器丟失網(wǎng)絡(luò)連接，預(yù)計(jì)6萬臺調(diào)制調(diào)解器掉線，影響了45%的寬帶連接。MTNL未提供具體數(shù)據(jù)。

提醒客戶修改默認(rèn)登錄憑證

上周五BSNL表示，這款惡意軟件攻擊了使用默認(rèn)登錄憑證的調(diào)制調(diào)解器，之后要求超過2000名用戶修改設(shè)備的默認(rèn)登錄憑證。

上周日，BSNL總經(jīng)理K. Ramachand表示，這款惡意軟件影響了90%新安裝的調(diào)制調(diào)解器，但并未提供詳細(xì)數(shù)據(jù)。

BSNL技術(shù)支持團(tuán)隊(duì)上周一直忙于幫助用戶重置調(diào)制調(diào)解器和路由器密碼，并要求有急需恢復(fù)網(wǎng)絡(luò)的客戶到當(dāng)?shù)剞k公室讓員工幫助重置調(diào)制調(diào)解器。

BrickerBot開發(fā)人員聲稱是自己所為

上周末，BrickerBot惡意軟件的開發(fā)人員聯(lián)系了媒體，并聲稱這起事件是他所為。

BrickerBot：

一款影響Linux物聯(lián)網(wǎng)和聯(lián)網(wǎng)設(shè)備的惡意軟件。與其它囤積設(shè)備組成僵尸網(wǎng)絡(luò)實(shí)施DDoS攻擊等惡意軟件不同的是，BrickerBot重寫Flash存儲，使設(shè)備變“磚”。大多數(shù)情況下，“磚化”效應(yīng)可以逆轉(zhuǎn)，但在某些情況下卻會造成永久性的破壞。

BrickerBot先前接受媒體的采訪時表示，他創(chuàng)建并擴(kuò)散這款惡意軟件，目的只是為了引起使用非安全設(shè)備ISP的注意。他還想將物聯(lián)網(wǎng)設(shè)備變成“磚”，以便不讓這些設(shè)備成為物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的一部分，他希望今后，設(shè)備所有者和互聯(lián)網(wǎng)服務(wù)器提供商謹(jǐn)慎保護(hù)設(shè)備安全，防止被感染后變“磚”，或遭遇Mirai、Hajime、Imeij、Amnesia、和其它DDoS惡意軟件感染。

BrickerBot開發(fā)人員通過電子郵件表示，BSNL的設(shè)備通常不安全，BSNL將責(zé)任歸于客戶的疏忽，這是對自己設(shè)備的安全狀況不誠實(shí)。

他提到，BSNL幾萬臺調(diào)制調(diào)解器使用了不受保護(hù)的TR069(TR064)接口，允許任何人重新配置設(shè)備實(shí)施中間人攻擊或DNS劫持。受影響的客戶無法阻止此類攻擊，因?yàn)锽SNL網(wǎng)絡(luò)及其設(shè)備的設(shè)計(jì)安全欠佳，這就是為什么迫使客戶修改默認(rèn)密碼也無濟(jì)于事的原因所在。

BrickerBot開發(fā)人員還提供了BrickerBot使用BSNL設(shè)備中其它硬編碼登錄憑證(除默認(rèn)管理員登錄憑證)連接到易受攻擊設(shè)備的技術(shù)細(xì)節(jié)。

QQ截圖20170801180419.jpg

ISP將7547端口暴露在公網(wǎng)上

BrickerBot開發(fā)人員(他喜歡使用化名“The Doctor”)還指出，BSNL和MTNL遭遇這起網(wǎng)絡(luò)攻擊的原因，還在于這兩大ISP允許他人通過7547端口連接到它們的網(wǎng)絡(luò)。

7547端口是TR069使用的端口。TR069是ISP用來發(fā)送命令并管理客戶家中路由器的管理協(xié)議。

BSNL和MTNL允許任何人通過7547端口連接到它們內(nèi)部網(wǎng)絡(luò)的路由器和調(diào)制調(diào)解器。TR069易遭受各種安全漏洞攻擊，允許攻擊者在設(shè)備上執(zhí)行代碼。

開放的TR069端口和某些設(shè)備中的硬編碼登錄信息允許BrickerBot上周對這兩家印度ISP造成嚴(yán)重破壞。

ISP過濾7547端口后，攻擊停止

這兩大提供商過濾7547端口后，這起攻擊在上周末終于消停。安全研究人員@ntuples(twitter用戶名)發(fā)現(xiàn)這起事件之后，暴露的設(shè)備急劇減少。

BrickerBot開發(fā)人員表示，這起針對印度電信服務(wù)提供商的攻擊無關(guān)乎政治，因?yàn)樗麚?dān)心印度當(dāng)局可能指責(zé)巴基斯坦。他提醒網(wǎng)絡(luò)服務(wù)提供商過濾客戶設(shè)備的控制端口。但他警告稱巴基斯坦電信公司(PTCL)網(wǎng)絡(luò)中同樣存在暴露的設(shè)備。

“The Doctor”的“治療”之路

“The Doctor”表示，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的大規(guī)模掃描行為一直在下降，單純通過被動監(jiān)聽檢測不安全的IP地址范圍更加不切實(shí)際。

他表示，ISP設(shè)備上不安全的TR069接口令人擔(dān)憂。

4月底他執(zhí)行了大規(guī)模攻擊測試以提醒全球用戶TR069接口存在風(fēng)險，最近他又通過一些新的實(shí)驗(yàn)有效載荷再次發(fā)起攻擊。他的目標(biāo)是讓最糟糕的1-2%的路由IP空間倍感壓力，希望通過他的攻擊行為，讓諸如BSNL這類ISP引起重視，并改進(jìn)邊緣/核心路由器過濾。

BSNL和MTNL客戶很幸運(yùn)，因?yàn)樗麄兊脑O(shè)備能被恢復(fù)，沒有遭受永久性破壞。前幾個月，受BrickerBot感染的設(shè)備卻無法恢復(fù)，永久變成了“磚”。