据Bleeping Computer报道,此次威胁由NewSky Security的研究人员首先发现,包括Rapid7和奇虎360的安全团队已经介入,并证实了新威胁的存在。
7月18日,NewSky Security安全团队发现此次事件是由于华为设备的CVE-2017-17215漏洞被利用,这是一个关键性的安全漏洞, 黑客可以通过这一漏洞访问37215端口。
如果以这种方式利用华为路由器,攻击者可以发送恶意数据包、对设备发动攻击、执行远程代码,可以写代码可以控制并将这些设备成为僵尸网络的一员。
僵尸网络是一由数量庞大的,被控制的设备组建的网络,其中包括计算机、路由器、智能手机、物联网设备,比如智能电灯、智能冰箱等。
利用这些被控制的物联网设备,可以利用Lizard Stresser发动400GBPS规模的DDOS攻击。
2015年,LizardStresser的源代码公之于众,LizardStresser可以针对物联网产品使用telnet暴力登录到随机IP地址和硬编码的用户凭证列表
即使在今天,硬编码凭证仍然是物联网产品的常见安全问题,而且通常只需要一台简单的扫描器就能使这些设备失效。
根据NewSky Security的首席研究员Ankit Anubhav的说法,对于新的华为僵尸网络事件,一个自称“Anarchy”的黑客表示对此事负责。
该黑客声称使用旧的CVE-2017-17215漏洞破解了18000台华为路由器,并向安全究人员披露了一份尚未公布的受害者的IP清单。
今年1月,华为路由器的漏洞代码被公布。该代码被StuoRi和BrikBoover利用,以及被用于臭名昭著Mirai僵尸网络的一系列变种。
2016年的Mirai成为了美国互联网历史上规模最大、破坏力最强的僵尸网络。
虽然动机尚未明确,但黑客告诉Ankit Anubhav,他们想制作“规模最大,破坏力最强的僵尸网络”,这可能表示,未来可能会出现新的LizardStresser,并且将会更有针对性,甚至可供其他人租用。
安全研究人员补充说:“攻击者可以利用已知的漏洞建造大型“肉鸡”军队,这真是令人感到懊恼”
Anubhav怀疑Owari / Sora僵尸网络由这个自称“Anarchy”的黑客创建。
故事可能还没有结束。 Anarchy / Wicked告诉研究人员,他们还打算开始扫描Realtek路由器漏洞CVE-2014-8361,以便劫持更多设备。(作者:Charlie Osborne)