Attacken har försökt göra 100,000 s routrar som en del av ett botnät.
Bild: iStock
Även en av de enklaste formerna av cyberattack har potential till katastrofala skador, en stor DDoS-attacken av en armé av kapade enheter kan knackar nätverk offline, lämnar organisationer och deras kunder inte kan få tillgång till tjänster.
Konsekvenserna av en sådan attack gjordes klart av Mirai botnet incident i slutet av förra året. Den Mirai botnät används varje dag av internet-anslutna enheter, till exempel routrar och kameror, för att få stora delar av internet för sina knän, bromsa eller helt och hållet få ner populära webbplatser och tjänster.
Men det var inte slutet av Mirai är ont uppsåt. En månad senare miljoner internet-användare i Tyskland kastades offline i slutet av November som en del av en samordnad cyberattack som påverkade även STORBRITANNIEN, Irland, Turkiet, Iran och Brasilien, bland andra.
Internet-leverantören för Deutsche Telekom bar bördan av mycket av attacken inom tysklands gränser. Matthias Rosche, SVP försäljning av lösningar och konsulttjänster till Deutsche Telekom telekom-security group, beskrev det som “den största attacken” mot de företag som hade en “betydande” påverkan på sin kundbas.
Nästan fem procent av sina 20 miljoner kunder drabbats av internet avbrott som ett resultat av botnet-attack, som riktade ZYxel och DLink router, som utnyttjar en öppen port. Totalt med 900 000 routrar har påverkats av attacken.
Attacken var inte klarar av att stjäla data, men det är fortfarande skapade stora problem, som resulterar i 30 timmar driftstopp för 900 000 anslutningar till internet i hem och företag över hela Tyskland.
“Vad vi såg var att det fanns en specifik router som hade frågor och problem. Att titta på statistiken, vi såg att ett betydande antal gick ner omedelbart,” Rosche sade, när han talade vid en konferens arrangerad av säkerhetsföretaget Check Point i Milano.
Det skadliga programmet innehöll en länk som utformats för att överföra skadlig programvara till enheten för att ansluta dem till botnät, men Deutsche Telekom snabbt flyttas för att minimera den potentiella skador av detta hot.
“Vi började med att undersöka i attacken och listat ut att det var en download-länk inlagd för att ladda upp för skadlig programvara. Så det första vi gjorde var att blockera det för att se att, även om infektionen är framgångsrik, ingenting kan laddas upp från den specifika länken”, sade Rosche.
Företagets säkerhet laget inrätta ett krig rum för att samordna verksamheter och blockera viktiga mål öppna port i nätverket, för att säkerställa att ingen attack kunde rikta det längre, förklarade han.
I tillägg till detta, ett avtal mellan Deutsche Telekom och routern leverantörer tänkt så snart som telekom-företaget visste hur nära den utsatthet, de kontaktade leverantörer och försett dem med den information som krävs för att uppdatera enheter och skydda dem mot botnät.
“Inom 12 timmar hade vi en ny version av mjukvaran som finns för våra routrar,” sade Rosche, och tillade att användarna informerades de var tvungna att vända routrar på och av igen och för att skydda sig från angrepp.
“Detta var en enkel lapp process och vi var glada att det var vår värsta-fall-scenario”, sade han om händelsen.
Om attacken hade varit helt lyckad, resultaten har varit svår och en fara för internet.
“Det är en enkel beräkning. Vi skulle ha haft en ny botnät 1,8 terabit per sekund, vilket är tillräckligt stor för att genomföra en DDoS-attack mot någon stat i världen. Detta har varit den mest kraftfulla vapen på internet, det skulle ha varit otrolig,” sade Rosche.
“Vi bad om ursäkt till våra kunder och den fråga som vi måste ställa oss frågan var,” vi Kan garantera att det inte kommer att hända igen i framtiden?’ Svaret är “förmodligen inte”. Men vi kommer att vara förberedda”, sade han.
LÄS MER OM IT-SÄKERHET
Historien upprepar: Hur sakernas internet är att misslyckas för att lära sig säkerhet lektioner av pastInternet-enheter som är anslutna kommer alltid att utgöra en risk, säger experterna [MAG]Är “admin” lösenord lämna ditt IoT enhet sårbart för it-angrepp? Homeland Security varnar för “BrickerBot’ skadlig kod som förstör utan säkerhet på internet-ansluten devicesEverything gamla blir som nytt igen: Experter förutspår en flod av denial-of-service-attacker [TechRepublic]