Дослідники виявили новий ботнет, який активно розширюється


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Дослідники Check Point виявили новий ботнет, що набув назви IoTroop. IoT-ботнет складається з розумних пристроїв із доступом до Інтернету, заражених тим самим ПЗ і віддалено контрольованим зловмисником. Такі ботнети використовувалися для одних з найруйнівніших кібератак по всьому світу.

Хоча деякі технічні аспекти наводять на думку про можливий зв’язок з Mirai, це абсолютно нова і набагато складніша кампанія, яка швидко поширюється по всьому світу. Поки дуже рано формулювати висновки про наміри зловмисників, але, враховуючи попередні DDoS-атаки Mirai, що відключили доступ до Інтернету, організації повинні провести належну підготовку.

Вперше ознаки загрози були виявлені наприкінці вересня за допомогою системи відвертання вторгнень (Intrusion Prevention System, IPS) Check Point. Спроби хакерів використати комбінації вразливостей, знайдених у різних IoT-пристроях, лише частішали.

З кожним днем шкідливе ПЗ еволюціонувало і використовувало все більше вразливостей в IP-камерах. Атак зазнали пристрої фірм D-Link, TP-Link, GoAhead, AVTECH, MikroTik, Linksys, Synology та багатьох інших. Незабаром стало очевидно, що напади здійснювались із різних джерел і IoT-пристроїв, тобто атаки поширювалися самими пристроями.

Також ботнет виявили і фахівці Qihoo 360 Netlab, які назвали його IoT_reaper. Дослідники зазначають, що він частково запозичує частину вихідного коду Mirai, проте між ними є істотні відмінності:

  • новий ботнет не зламує слабкі паролі, а лише використовує вразливості IoT-пристроїв,
  • сканування не дуже агресивне, що дозволяє ботнету залишатися непоміченим,
  • є середовище Lua, тобто можуть підтримуватися і виконуватися складніші атаки.

Аналіз ланцюжка зараження

За допомогою Global Threat Map (глобальної карти загроз) Check Point, що відображає атаки на пристрої під захистом IPS, команда дослідників почала вивчати джерела даних атак. Нижче наведений аналіз одного з атакованих пристроїв.

Цей конкретний IP належить камері GoAhead з відкритим портом 81, який працює через TCP. При подальшій перевірці доступ до файлу System.ini (показаному нижче) пристрої на цьому IP-адресі був перевірений на предмет злому. На звичайній машині цей файл містить облікові дані користувача. Проте на цьому пристрої була виявлена відредагована версія з командою Netcat, яка відкривала зворотну оболонку IP-адреси атаки. Це говорить про те, що машина – лише ланка в ланцюжку: вона була заражена і поширила вірус. У цьому випадку для зараження використовувалася вразливість CVE-2017-8225.

Подальші дослідження виявили схожу поведінку у багатьох пристроїв. Всього виявилося зараженими близько 60 % корпоративних мереж, що входять у глобальну мережу ThreatCloud, і їх кількість збільшується.

Джерело: блог Check Point

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *