BrickerBot惡意軟件開發人員聲稱，印度多地發生網絡攻擊事件，事件導致6萬臺調制調解器(貓)和路由器掉線(丟失網絡連接)。

!!!!!(加圖)BrickerBot對印度兩家ISP發起攻擊 超過6萬臺調制調解器受到影響-E安全

這起事件影響了Bharat Sanchar Nigam Limited(BSNL)和Mahanagar Telephone Nigam Limited(MTNL)這兩家印度國有電信服務提供商的調制調解器和路由器。

7月25~29日，用戶曾報告斷網，因為路由器和調制調解器的紅色LED燈一直處于打開狀態。

網絡故障皆因惡意軟件攻擊而起

BSNL向當地媒體透露，惡意軟件導致網絡故障。除了用戶的路由器，這款惡意軟件還影響了BSNL全國網絡骨干(National Internet Backbone，NIB)的路由器，但這部分路由器立即得到恢復。

BSNL技術小組一名員工向Deccan Chronicle透露，事件導致印度東北部、北部和南部地區調制調解器丟失網絡連接，預計6萬臺調制調解器掉線，影響了45%的寬帶連接。MTNL未提供具體數據。

提醒客戶修改默認登錄憑證

上周五BSNL表示，這款惡意軟件攻擊了使用默認登錄憑證的調制調解器，之后要求超過2000名用戶修改設備的默認登錄憑證。

上周日，BSNL總經理K. Ramachand表示，這款惡意軟件影響了90%新安裝的調制調解器，但并未提供詳細數據。

BSNL技術支持團隊上周一直忙于幫助用戶重置調制調解器和路由器密碼，并要求有急需恢復網絡的客戶到當地辦公室讓員工幫助重置調制調解器。

BrickerBot開發人員聲稱是自己所為

上周末，BrickerBot惡意軟件的開發人員聯系了媒體，并聲稱這起事件是他所為。

BrickerBot：

一款影響Linux物聯網和聯網設備的惡意軟件。與其它囤積設備組成僵尸網絡實施DDoS攻擊等惡意軟件不同的是，BrickerBot重寫Flash存儲，使設備變“磚”。大多數情況下，“磚化”效應可以逆轉，但在某些情況下卻會造成永久性的破壞。

BrickerBot先前接受媒體的采訪時表示，他創建并擴散這款惡意軟件，目的只是為了引起使用非安全設備ISP的注意。他還想將物聯網設備變成“磚”，以便不讓這些設備成為物聯網DDoS僵尸網絡的一部分，他希望今后，設備所有者和互聯網服務器提供商謹慎保護設備安全，防止被感染后變“磚”，或遭遇Mirai、Hajime、Imeij、Amnesia、和其它DDoS惡意軟件感染。

BrickerBot開發人員通過電子郵件表示，BSNL的設備通常不安全，BSNL將責任歸于客戶的疏忽，這是對自己設備的安全狀況不誠實。

他提到，BSNL幾萬臺調制調解器使用了不受保護的TR069(TR064)接口，允許任何人重新配置設備實施中間人攻擊或DNS劫持。受影響的客戶無法阻止此類攻擊，因為BSNL網絡及其設備的設計安全欠佳，這就是為什么迫使客戶修改默認密碼也無濟于事的原因所在。

BrickerBot開發人員還提供了BrickerBot使用BSNL設備中其它硬編碼登錄憑證(除默認管理員登錄憑證)連接到易受攻擊設備的技術細節。

QQ截圖20170801180419.jpg

ISP將7547端口暴露在公網上

BrickerBot開發人員(他喜歡使用化名“The Doctor”)還指出，BSNL和MTNL遭遇這起網絡攻擊的原因，還在于這兩大ISP允許他人通過7547端口連接到它們的網絡。

7547端口是TR069使用的端口。TR069是ISP用來發送命令并管理客戶家中路由器的管理協議。

BSNL和MTNL允許任何人通過7547端口連接到它們內部網絡的路由器和調制調解器。TR069易遭受各種安全漏洞攻擊，允許攻擊者在設備上執行代碼。

開放的TR069端口和某些設備中的硬編碼登錄信息允許BrickerBot上周對這兩家印度ISP造成嚴重破壞。

ISP過濾7547端口后，攻擊停止

這兩大提供商過濾7547端口后，這起攻擊在上周末終于消停。安全研究人員@ntuples(twitter用戶名)發現這起事件之后，暴露的設備急劇減少。

BrickerBot開發人員表示，這起針對印度電信服務提供商的攻擊無關乎政治，因為他擔心印度當局可能指責巴基斯坦。他提醒網絡服務提供商過濾客戶設備的控制端口。但他警告稱巴基斯坦電信公司(PTCL)網絡中同樣存在暴露的設備。

“The Doctor”的“治療”之路

“The Doctor”表示，物聯網僵尸網絡的大規模掃描行為一直在下降，單純通過被動監聽檢測不安全的IP地址范圍更加不切實際。

他表示，ISP設備上不安全的TR069接口令人擔憂。

4月底他執行了大規模攻擊測試以提醒全球用戶TR069接口存在風險，最近他又通過一些新的實驗有效載荷再次發起攻擊。他的目標是讓最糟糕的1-2%的路由IP空間倍感壓力，希望通過他的攻擊行為，讓諸如BSNL這類ISP引起重視，并改進邊緣/核心路由器過濾。

BSNL和MTNL客戶很幸運，因為他們的設備能被恢復，沒有遭受永久性破壞。前幾個月，受BrickerBot感染的設備卻無法恢復，永久變成了“磚”。