Este ano parece dar uma trégua aos usuários e serviços de Internet em todo o mundo; recentemente, ocorreu um ataque cibernético massivo que atinge quase um milhão de roteadores offline e, como resultado, muitos usuários sofreram interrupções na Internet no domingo e Segunda-feira.
Este ano parece dar uma trégua aos usuários e serviços de Internet em todo o mundo, como evidenciado por este novo e massivo ataque aos roteadores da Deutsche Telekom, que resultou em 900.000 usuários sem acesso à Internet na Alemanha, por várias horas no último fim de semana.
É muito claro que o Mirai Botnet está se tornando muito mais forte e famoso a cada dia. Qual é a razão? O motivo são os dispositivos inseguros da Internet das coisas. Como todos nós sabemos muito bem que, no mês passado, o botnet Mirai atingiu toda a Internet offline, mesmo tendo desativado alguns dos maiores e mais populares sites do mundo.
Embora as razões para a queda no serviço não fossem conhecidas, segundo relatório do Escritório Federal Alemão para Segurança da Informação (BSI), pela primeira vez, confirmou que foi o resultado de uma operação para adicioná-los a um botnet.
Os especialistas em dados sugerem que estaria envolvida uma versão modificada do botnet Mirai, e devido a esse botnet Mirai modificado o mesmo responsável pela maciça ataque a 41 milhões de roteadores que, por sua vez, afetaram o serviço de vários sites, especialmente redes sociais e sites de mídia e empresas em outubro passado, no mundo todo.
É o caso do ataque na Alemanha, que na verdade ocorreu no domingo e na segunda-feira onde a maioria dos roteadores de banda larga são da Zyxel e Speedport marcas com porta aberta 7547, que é realmente usada pelos fornecedores a fim de manter ou gerenciar os dispositivos remotamente, se necessário ou obrigatório.
Anteriormente, a mesma vulnerabilidade também afetava os roteadores sem fio Eir D1000, que foram renomeados como Modem Zyxel, implantado pelo provedor irlandês de serviços de Internet Eircom, embora não haja sinais de que esses roteadores estejam ativamente explorado.
De acordo com a pesquisa do Shodan, “cerca de 41 milhões de dispositivos deixam a porta 7547 aberta, enquanto cerca de 5 milhões expõem os serviços TR-064 para o mundo exterior”.
Mas, de acordo com os relatórios publicados pelo SANS Internet Storm Center, “servidores honeypot se passando por roteadores vulneráveis estão recebendo código de exploração a cada 5-10 minutos para cada IP de destino”.
No entanto, a empresa de segurança BadCyber escreveu em um blog que “A aplicação incomum de comandos TR-064 para executar códigos em roteadores foi descrito pela primeira vez no início de novembro e, alguns dias depois, um módulo Metasploit relevante apareceu. Parece que alguém decidiu transformá-lo em uma arma e criar um worm de Internet baseado no código Mirai ”.
Além disso, a Deutsche Telekom publicou um patch de emergência para esses dois modelos específicos de seus roteadores de banda larga Speedport “Speedport W 921V e Speedport W 723V Tipo B ”e não apenas que até mesmo a empresa atualmente lançando atualizações de firmware também simplesmente para consertar este severo falha.
Portanto, eles recomendaram a todos os seus clientes que simplesmente desligassem seus roteadores de banda larga e pedissem para esperar 30 segundos após que instruem todos os seus usuários a reiniciar seus roteadores na tentativa de buscar a nova atualização de firmware durante a inicialização processar.
Atualmente, sua autoria é desconhecida, mas especula-se, como no caso anterior, os hackers russos estavam por trás desses ações, enquanto vemos que é uma situação que pode se repetir ao longo do próximo ano, conforme evidências obtidas pelo pesquisadores.