El afectado es el proveedor de servicios de Internet alemán Deutsche Telekom
Mirai Botnet es cada vez más fuerte y más notoria cada día que pasa. La razón: dispositivos inseguras de Internet de las cosas.
El mes pasado, la red de bots Mirai golpearon toda la línea de Internet durante unas horas, paralizando algunos de los sitios web más grandes y más populares del mundo.
Ahora, más de 900.000 routers de banda ancha que pertenece a los usuarios Deutsche Telekom en Alemania quedaron fuera de línea durante el fin de semana después de un supuesto ataque cibernético, que afectó a la telefonía, televisión y servicio de Internet en el país.
El proveedor de servicios de Internet alemán, Deutsche Telekom, que ofrece diversos servicios a alrededor de 20 millones de clientes, confirmó en Facebook que un máximo de 900.000 clientes sufrieron cortes de Internet el domingo y lunes.
Millones de routers se dice que son vulnerables a un código de ejecución remota de falla crítica en los routers hechos por Zyxel y Speedport, abriendo el puerto de Internet 7547 para recibir comandos basados en los protocolos afines TR-069 y TR-064, que están destinados al uso por los proveedores de Internet para administrar sus dispositivos de forma remota.
La misma vulnerabilidad afecta a los routers inalámbricos Eir D1000 (renombrados módem Zyxel) desplegadas por el proveedor de servicios de internet irlandés, Eircom, aunque no hay indicios de que estos routers sean explotados de manera activa.
De acuerdo con la búsqueda Shodan, alrededor de 41 millones de dispositivos escuchan en el puerto 7547 abierto, mientras que alrededor del 5 millones exponen el protocolo TR-064 al mundo exterior.
De acuerdo con un boletín publicado por el SANS Internet Storm Center, servidores honeypot actuando como routers vulnerables están recibiendo el código de explotación cada 5-10 minutos para cada IP de destino.
Un paquete interceptado mostró como un mando a distancia tenía un defecto de ejecución de código en la parte <NewNTPServer> de una solicitud SOAP, que se utiliza para descargar y ejecutar un archivo con el fin de infectar el dispositivo vulnerable.
Los investigadores de seguridad en BadCyber también analizaron una de las cargas maliciosas que fueron entregadas durante los ataques y descubrieron que el ataque se originó a partir servidores de comando y control de un conocido Mirai.
"La aplicación inusual de comandos TR-064 para ejecutar código en los routers se ha descrito por primera vez a principios de noviembre y unos días más tarde había aparecido un módulo de Metasploit relevante", escribió en una entrada en el blog BadCyber. "Parece que alguien decidió convertirlo en arma y crear un gusano de Internet basado en el código de Mirai".
Todo empezó a principios de octubre, cuando un criminal cibernético lanzaba públicamente el código fuente de Mirai, una pieza desagradable de malware IO diseñada para buscar dispositivos IO inseguros - en su mayoría routers, cámaras y DVR - y los esclaviza en una red botnet, que luego es utilizada para lanzar ataques DDoS.
El hacker crea tres archivos exploit separados con el fin de infectar a tres arquitecturas diferentes: dos que ejecutan diferentes tipos de chips MIPS y uno de ARM silicon.
Los payloads maliciosos abren la interfaz de administración a distancia y luego intentan iniciar sesión usando tres diferentes contraseñas por defecto. Una vez hecho esto, el exploit cierra a continuación el puerto 7547 con el fin de evitar que otros atacantes tomen el control de los dispositivos infectados.
"Los nombres de usuario y las contraseñas son ofuscadas (o "cifradas") en el código del gusano usando el mismo algoritmo cono lo hace Mirai", dicen los investigadores. "El servidor C&C reside bajo el nombre de dominio timeserver.host, que puede encontrarse en la lista de seguimiento de Mirai".
Se pueden encontrar más en profundidad los detalles técnicos de la vulnerabilidad en ISC Sans, Kaspersky Lab , y Reverse Engineering Blog.
Deutsche Telekom ha publicado un parche de emergencia para los dos modelos de sus routers de banda ancha Speedport - Speedport W 921V, Speedport W 723V Tipo B - y en la actualidad está desplegando actualizaciones de firmware.
La compañía recomienda a sus clientes que apaguen sus routers, esperen 30 segundos y luego reinicien sus routers en un intento de buscar el nuevo firmware durante el proceso de arranque.
Si el router no puede conectarse a la red de la empresa, se les recomienda a los usuarios desconectar el dispositivo de la red de forma permanente.
Para compensar el tiempo de inactividad, el ISP también está ofreciendo gratis el acceso a Internet a través de dispositivos móviles a los clientes afectados hasta que se resuelva el problema técnico.
