حدود ۲۴۰۰ روتر خانگی در انگلستان با کد میرای بات نت آلوده شده اند. این بدافزار از حملات DDOS استفاده می کند. یک اسکن سریع نشان داده است که ۹۹ درصد از روترهای خانگی آلوده شده به این بدافزار متعلق به شبکه مخابراتی تاک تاک(TalkTalk) هستند.
انتشار کد مخرب میرای(Mirai) در یک انجمن زیر زمینی در ماه اکتبر، ترس از حملات DDOS که دستگاه هایی همچون روتر را هدف قرار می دهد بیشتر کرده است. این دستگاه ها بخشی از اینترنت اشیا(IoT) هستند.مدت کوتاهی پس از آن، میرای بات نت(Mirai botnet) برای انجام حملات DDOS بر روی سرویس DNS ( سیستم نام دامنه) DYN به کار رفت که وب سرویس هایی همچون Netflix و توییتر را ارائه می کرد. در طی چند هفته، نوع دیگری از کد مخرب میرای باعث شد روتر های Deutsche Telekom از کار بیفتد. در نهایت بیش از ۹۰۰۰۰۰ رایانه تحت تاثیر این کد قرار گرفت. این نوع کد برای سوء استفاده کردن از آسیب پذیری جدیدی در پروتکل TR-064 طراحی شده بود و قصد داشت اطلاعات روترها را برباید. این شرکت تصمیم گرفت بسته جدیدی برای مشتریان خود تولید کند اما چند روز بعد کد مخرب دیگری که برای روترها طراحی شده بود سیستم های موجود در انگلستان را تحت تاثیر خود قرار داد. این موضوع نشان می دهد که آسیب پذیری TR-064 و بدافزار موجودی که از آن سوء استفاده می کند؛ میلیون ها مشتری را تحت تاثیر خود قرار خواهد داد. همانطور که می دانید TR-064 یکی از پروتکل هایی است که به طور گسترده توسط اکثر ISP ها برای مدیریت ریموت روتر مورد استفاده قرار می گیرد اما دستورات استانداردی که قابلیت اصلاح دارند هکرها را قادر می سازد کارهایی را بر روی روتر انجام دهند. به عنوان مثال هکرها می توانند پورت ۸۰ را برای دسترسی ریموت باز کنند، پسورد وای فای را شناسایی نمایند و بدافزار را وارد دستگاه سازند.
حملات Flood:
شش روز بعد از خاموش شدن و از کار افتادن روتر های Deutche Telekom، محققان بیان کردند که سایت یک شرکت انگلیسی که از خدمات Incapsula استفاده می کرد دچار حملات GET و POST شده است . این حمله در بیش از ۸۶۰۰ PRS ( درخواست در هر ثانیه) به اوج خود رسید. سپس به مقدار ثابتی رسید و دو صفحه خاص از سایت مشتریان را هدف قرار داد. محققان در این باره می گویند: تداوم حضور متخلفان و نیز انتخاب هدف شان، نشان می دهد که این یک حمله از پیش برنامه ریزی شده است. یکی از جنبه های جالب و جذابی که این حمله داشت این بود که تمامی ۲۳۹۸ آی پی که مورد حمله قرار گرفته بودند در انگلستان واقع شده بود. یک بات نت منطقه ای، معمولا اسیب پذیری های موجود در دستگاه هایی را هدف قرار می دهد که توسط خرده فروشان محلی تامین می شوند. در این شرایط، روترهای ارائه شده توسط تاک تاک نیز در لیست قرار می گیرد. محققان تقریبا TR-064 را متوقف کردند به گونه ای که هیچ اسکنی پورت ۷۵۴۷ بازی را نشان نمی داد. با اینحال، زمانی که این محققان ای پی آدرس یکسانی را در موتور جستجوی Shodan قرار دادند در یافتند که این پورت ها تا چند روز قبل باز بوده است. محققان بر این باورند که در این شرایط کد مخرب میرای مورد استفاده قرار گرفته است. آن ها می گویند: امیدواریم گزارش های جمع آوری شده در این مورد بتواند تمامی ISP هایی که از روترهای مشکوک به وجود اسیب پذیری پروتکل TR-064 استفاده می کنند را بیدار سازد. با وجود انواع مختلفی از کد میرای که برای حملات مقیاس بزرگ مورد استفاده قرار می گیرد، محققان به شرکت های ISP هشدار داده اند و از آن ها خواسته اند بسته های اضطراری را برای هدف قرار دادن چنین مشکلاتی ارائه کنند.
شرکت تاک تاک تحت حمله این بدافزارها قرار دارد:
شرکت تاک تاک راه حلی را برای این آسیب پذیری ارائه کرده است که رابط TR-064 را می بندد و روتر را ریست می کند. اما این شرکت نتوانسته است مشتریان را وادار به تغییر پسورد کند و همین امر موجب شده است روترهای آن تحت حمله بدافزارها قرار گیرد. تحقیقات مختلف نشان داده است که تاک تاک و سایر ISP هایی که از روترهای مشابه استفاده می کنند به احتمال زیاد پسورد وای فای خود را از دست خواهند داد. این موضوع منجر می شود راه هکرها باز شود و حملات به صورت ساده تر انجام گردد . راه حلی که توسط شرکت تاک تاک ارائه شده است روترها را به حالت قبلی ریست می کند. این موضوع بدین معناست که حمله کنندگان و هکرها هنوز پسورد معتبر برای روترهای آلوده را در اختیار دارند. با اینحال شرکت تاک تاک کاربران خود را ملزم به تغییر تنظیمات روتر نکرده است. سخنگوی این شرکت بیان کرده است که هر وقت نیاز باشد این تغییرات از سوی شرکت اعمال خواهد شد. این شرکت معتقد است که هیچ خطری اطلاعات شخصی افراد را تهدید نمی کند. با این وجود بیشتر متخصصان بر این باورند که شرکت تاک تاک امنیت داده های مشتریان خود را از دست داده است. این دقیقا مخالف چیزی است که خود شرکت بیان می کند. در چنین شرایطی متخصصان توصیه می کنند افراد روترهای خود را ریست کنند و پسورد وای فای و ادمین را تغییر دهند.
