Атака началась 20 ноября и продолжилась на следующий день. С точки зрения пользователей она выразилась в том, что у них пропал интернет. Со стороны German Telekom атака привела к невозможности идентифицировать роутеры клиентов во время вызова по линии связи.
Технические особенности атаки
В ходе атаки применялась вредоносная программа Mirai, которая воспользовалась уязвимостью роутеров производителей Zyxel и Speedport. Обычно в роутерах этих брендов оставляется открытым порт 7547, что дает возможность провайдеру удаленно управлять устройством и перезагружать его в случае сбоя.
Вредоносный код, написанный на основе Mirai с добавлением простого протокола доступа к объектам (SOAP), проник в домашние роутеры через порт 7547 и вызвал сбой в работе устройств. Впоследствии эксперты ресурса SANS Internet Storm Center, который первым сообщил о происшествии, специально создали незащищенную сеть, чтобы определить частоту атак. Как оказалось, вредоносный код пытался проникнуть в роутеры один раз в пять минут.
По данным SANS Internet Storm Center, сейчас в обозримом интернете насчитывается примерно 41 млн устройств с открытым портом 7547. Все эти приборы могут стать жертвами атаки с применением Mirai.
В ходе атаки был использован уязвимый открытый порт роутеров Zyxel и Speedport