德國電信遭黑客攻擊：90萬路由器下線 大量用戶無法訪問互聯網

德國電信近日遭遇網路攻擊，超90萬路由器無法聯網，德國電信方面已經確認了此事。

斷網事故始於當地時間11月27日（周日）17：00左右，持續數個小時。周一上午08：00，再次出現斷網問題。除了聯網服務外，德國電信用戶還用這些路由器來連接電話和電視服務。

事件影響全國範圍內的眾多用戶，具體影響範圍如下圖所示：

圖片來自：Allestoerungen.de

當地時間周一12：00，德國電信在Facebook上放出通告稱，其2千萬用戶已將問題解決，但其用戶反映無法聯網的問題依舊存在。

到底發生了什麼？

根據德國媒體abendblatt.de報道：

「德國聯邦信息技術安全局（BSI）發現，在某個全球範圍內的攻擊發生之後，德國電信路由器出現了無法聯網的問題。」

「根據BSI的說法，在受保護的政府網路中也發生了上述攻擊，但得益於有效的保護措施，政府網路受到的攻擊被擊退。」

目前德國電信並未提供攻擊的技術細節，也沒有透露受影響的路由器型號。目前尚不清楚，哪種威脅攻擊了德國電信的路由器，專家推測可能有惡意軟體阻止路由器聯網。目前推測此惡意軟體為Mirai的變種。

來自SANS Institute的報道，目前德國電信和路由器供應商已聯合開發並發布固件補丁。

德國電信客服部門建議用戶斷開設備，等待30秒，重啟路由器。在啟動過程中，路由器將從德國電信伺服器上下載最新固件。如果這個方法無法讓路由器恢復連接，那麼建議將路由器從德國電信網路徹底斷開。

除此之外，德國電信還提供免費移動網路，直至技術問題得到解決。

相關分析

實際上德國電信並沒有公布這次網路攻擊的技術細節，甚至連究竟有哪些路由器受到影響都沒提。有專家推測這次的攻擊應該是惡意軟體阻止了哪些路由器連接到德國電信的網路。

不過SANS ISC的安全專家周一早晨發布了一篇報告，其中提到針對Speedport路由器的7547埠進行SOAP遠程代碼執行漏洞的掃描和利用，近期發生了急劇增長。而Speedport路由器正是德國電信用戶廣泛使用的型號。

報告中還說，德國電信與Eircom（愛爾蘭運營商）為用戶提供的路由器都存在漏洞——這些路由器是由Zyxel和Speedport製造的，另外可能還有其他製造商。

這些設備將互聯網埠7547暴露給外部網路，漏洞利用過程基於TR-069和相關的TR-064協議來發出命令，原本ISP運營商是用這些協議來遠程管理大量硬體設備的。

「過去幾天中，對7647埠的攻擊大大增多。這些掃描似乎利用了流行的DSL路由器中的漏洞。這個問題可能已經導致德國ISP運營商德國電信出現嚴重問題，並可能影響其他人（考慮到美國那邊還是周末）。

對於德國電信，Speedport路由器似乎是這次事件的主要問題。

「通過Shodan搜索，可以發現目前約4100萬個設備開放7547埠。代碼似乎是來自Mirai殭屍網路。目前，從蜜罐伺服器的數據來看，針對每個目標IP，每5-10分鐘就會收到一個請求。」

以下是安全專家捕獲的請求：

根據SANS ISC發布的報告，攻擊者試圖利用TR-069配置協議中的一個漏洞。專家表示可利用一個Metasploit模塊，實現該漏洞的利用。POC如下所示：

https://www.exploit-db.com/exploits/40740/

其實在本月月初的時候，就有研究人員公布了利用TR-064服務的攻擊代碼。作為Metasploit開發框架的模塊，攻擊代碼會開啟遠程管理web界面的80埠。那些用了默認或者弱密碼的設備，就會被遠程利用，加入到殭屍網路中，發起DoS攻擊了。

又和Mirai殭屍網路有關

來自BadCyber的研究人員分析了攻擊中的惡意payload，發現就是源自於一台已知的Mirai C&C伺服器。

「利用TR-064命令在路由器上執行代碼，是直到本月11月初的研究報告才第一次提到的，幾天之後就有相關的Metasploit模塊出現了。似乎就是有人要將它打造成武器，基於Mirai代碼構建互聯網蠕蟲。」

為了感染儘可能多的路由器，惡意程序包含了3個獨立的利用文件，其中兩個為那些採用MIPS晶元的設備準備，另外一個則是針對採用ARM晶元的路由器。惡意payload利用漏洞來開啟遠程管理界面，然後使用3個不同的默認密碼來嘗試登錄。

攻擊過程隨後會關閉7547埠，以阻止其他惡意程序控制設備。

busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP

busybox killall -9 telnetd

其上第一條命令關閉了7547埠，而第二條命令則是禁用了telnet服務——這樣一來ISP運營商要進行設備遠程升級也就有難度了。

代碼中的登錄用戶名和密碼經過了混淆，和Mirai所用的演算法一致。C&C伺服器也在timeserver.host域名下——這也是台Mirai伺服器。而且連掃描IP的偽隨機演算法，看起來都直接複製了Mirai的源碼。

「看起來這款惡意程序的作者照搬了Mirai代碼，將之與其Metasploit模塊進行了融合，最終產出了這款蠕蟲。」

*參考來源：

securityaffairs

，FB小編kuma、bimeover編譯，轉載請註明來自

FreeBuf.COM

。

※中國移動廣西網路升級，導致用戶無法撥打電話、發簡訊和上網
※中國移動4G用戶達5.68億：聯通電信偷偷抹淚
※黑客入侵Riot英雄聯盟網路，獲取超500萬用戶信息
※外媒：調查報告顯示10％的中國互聯網用戶受到勒索病毒攻擊
※10億＋用戶！移動互聯網的未來7大趨勢
※河南鏟車司機壓斷電線致22萬用戶通信中斷 被刑拘
※in資訊：聯通威脅用戶 插移動卡永不讓用4G網路
※外星人隱身互聯網？51％互聯網流量來自非人類用戶
※某IT大廠幫廣西移動割接，不小心刪除了100多萬用戶數據，導致用戶至今無法通話、上網
※歐洲第200架颱風戰機下線交付使用，用戶是德國空軍
※為打壓網路仇恨言論 德國出動警力突擊搜查36名用戶住所
※馬雲顛覆電信：中國移動從躺著賺錢到損失200萬用戶！
※雙卡雙待用戶哭！台灣正式關閉2G網路，10萬用戶得換手機
※國電延吉熱電簽訂6161萬千瓦時大用戶直供電
※雙卡雙待用戶哭暈！台灣正式關閉2G網路，10萬用戶得換手機
※《巫師3》官方論壇遭黑客襲擊 180萬用戶信息泄露
※2G正式退出中國台灣電信市場，相關用戶可升至4G
※義大利聯合信貸銀行被黑，40萬用戶信息泄漏
※雅虎確認30億用戶信息被盜 千萬中國用戶信息或遭泄露