升级的Mirai Botnet通过感染路由器来破坏Deutsche Telekom

一个新版本的mirai - 一种奴役的恶意软件，这一直奴役稳定的物联网设备 - 已找到一个新的受害者：来自德国的德国的互联网路由器“的德意志电信。

该公司周一报告，Mirai新菌株的蔓延导致互联网连接问题接近一百万德意志电信客户。

Deutsche Telekom指责对臭名昭着恶意软件的中断，已经发现感染了500,000多个互联网连接设备，包括DVR和监控摄像头。

然而，这位安全科技学院的安全研究员Johannes Ullrich表示，这种新的Mirai菌株已经升级。他一直在观察感染，并表示他们专门设计用于利用公司Zyxel互联网路由器的漏洞。

最初，Mirai旨在通过扫描Internet，然后尝试60多个密码组合的列表来感染使用弱默认登录和密码构建的设备。但是，这种新的应变还针对Zyxel路由器产品中嵌入的SOAP（简单对象访问协议）服务中的缺陷，允许恶意软件接管设备，Ullrich表示。

目前尚不清楚有多少设备可能受到影响，但Deutsche Telekom表示，在周日下午开始的中断，造成了900,000名顾客在其2000万客户中造成了建议问题。

“攻击试图用恶意软件感染路由器，但失败，这导致了4到5％的所有路由器的崩溃或限制，”该公司在一封电子邮件中表示。

然而，Ullrich的调查结果表明，Mirai的新菌株成功地在至少一些设备中取得了成功。要跟踪恶意软件的传播，他于周一建立了一个Web服务器，旨在充当可以引诱在攻击中的蜜罐。

“一旦Mirai感染了一个系统，它就去寻找更多受害者，”他说。

截至周一早上，他发现了100,000个独特的IP地址试图感染他的蜜罐。

但Mirai的目标并不简单地感染。通过控制成千上万的设备，恶意软件可以形成僵尸网络 - 或一支可用于推出大规模分布式拒绝服务攻击的奴役计算机的军队。

这是上个月发生的事情，当Mirai感染的设备用于导致互联网停用数十个顶级美国网站。DDOS攻击通过泛滥DNS服务提供商使用压倒性的互联网流量来工作。

Ullrich表示，他没有观察到这种Mirai的新菌株推出任何DDOS攻击。但是，Deutsche Telekom客户的连接问题可能是由感染设备的恶意软件引起的，然后使用路由器上的计算电源来感染其他设备。

幸运的是，Deutsche Telekom发布了咨询，指示客户如何去除感染。

但Ullrich表示，新的Mirai菌株可能是其他公司或互联网服务提供商使用的感染路由器;他们只是不知道。他估计100万到200万路由器产品将很容易受到感染。

Zyxel并没有立即回复评论请求。