Près d’un million de clients Deutsche Telekom ont été touchés par de sérieux dysfonctionnements ayant été occasionnés par une cyberattaque sur les routeurs de l’opérateur qui serait liée au botnet IoT Mirai.
Les perturbations et coupures auront duré environ 48 heures pour plus de 900 000 clients ADSL allemands de l’opérateur Deutsche Telekom. Dans un communiqué officiel, Deutsche Telekom affirme qu’une part située entre 4 et 5 % de ses clients a été touchée sur les 20 millions. Il indique sur sa page Facebook que l’attaque visait les routeurs. Le malware aurait réussi à pénétrer au sein de la mémoire vive des routeurs en exploitant une faille dans le firmware du matériel mais n’aurait pas pu écrire sur les dispositifs de stockage faute de droits. Du coup, un simple redémarrage des équipements réseaux touchés a eu raison du problème.
« Nous partons du principe qu’il y a eu une intervention extérieure sur les routeurs »
Comme l’indique Kaspersky, un trafic suspect a été détecté sur le port TCP 7547, utilisé le plus souvent pour la spécification TR-064. Cette dernière décrit un mécanisme de configuration à distance des équipements DSL. Or, une porte ouverte pour une action distante, c’est précisément ce qui a fait le « succès » de Mirai, les constructeurs laissant disponible de tels canaux pour simplifier l’administration. Le malware, qui présentait les caractéristiques d’une variante de Mirai, s’est attaqué à une vulnérabilité exploitable à distance dans les routeurs Zyxel, chez qui Deutsche Telekom se fournit. Comme l’explique le SANS Technology Institute, Mirai cible ces appareils de la même manière qu’il visait les caméras connectées, en adaptant simplement sa méthode. Il cherche ainsi un service SOAP (Simple Object Access Protocol) pour y exploiter une faille.
Des chercheurs ont déployé des serveurs honeypots afin de se rendre compte de l’ampleur de ce type de cyberattaque. Résultat, ce sont près de 100 000 adresses IP qui attaquent en permanence toutes les 5 à 10 minutes les équipements réseaux. Les chercheurs pensent qu’un cybercriminel a utilisé le code source de Mirai afin de créer un ver Internet attaquant tous les équipements réseaux.
Du côté de Deutsche Telekom, des mesures auraient été prises, sans pour autant les avoir expliquées en détail.
Source : NextInpact