Другие новости
Продажи Geely Auto превысили 2,17 миллиона единиц, рост на международных рынках составил более 53%
Hisense представила инновационные решения в области телевизионной техники на выставке CES 2025
Hisense представила свой взгляд на будущее ИИ на выставке CES 2025
Huawei публикует 10 главных тенденций вследствие запуска FusionSolar 2025
Компания Segway официально признана мировым брендом № 1 по продажам электросамокатов
DDoS-ботнет порабощает домашние и офисные роутеры
Аналитика
Исследователи обнаружили ботнет, включающий десятки тысяч угнанных домашних роутеров.
Выявлен массивный DDoS ботнет из сети взломанных домашних и офисных маршрутизаторов.
Согласно докладу, опубликованному компанией кибербезопасности Incapsula, слабый уровень безопасности маршрутизаторов для малого офиса и дома (SOHO) привел к тому, что десятки тысяч маршрутизаторов были взломаны и взяты под контроль в качестве подчиненных систем в сети ботнет.
Распределенные атаки типа «отказ в обслуживании» (DDoS) являются распространенным способом нарушения работы сетей и онлайн-сервисов. Ботнет-сети часто состоят из взломанных компьютеров, маршрутизаторов и других устройств. Злоумышленники управляют ботнетом через командно-контрольные серверы (C&C) с целью переполнить полосу пропускания трафика определенных доменов.
В результате большого количества обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, сайты отказываются от легитимного трафика. DDoS атаки также иногда проводят для отвлечения внимания, а хакер использует другие методы, чтобы проникнуть в корпоративные сети.
Несколько десятков клиентов Imperva Incapsula недавно стали мишенью DDoS ботнета, состоящего из угнанных маршрутизаторов, осуществившего серию атак HTTP-флуда уровня приложений. Нападения были впервые обнаружены в декабре прошлого года, и компания с тех пор занимается смягчением последствий. Тем не менее, в последние 30 дней, атаки поднялись на новую высоту, увеличив вдвое количеством атакующих IP-адресов.
После расследования, Incapsula обнаружила, что атаки на домены компании, за которыми она следила, были только небольшой частью более широкой картины — гораздо большего DDoS ботнета, атакующего сотни других доменов вне сети Incapsula. Кроме того, векторы атаки за пределами HTTP-флуда на уровне приложений были направлены на сетевой слой защиты.
Особенным этот ботнет делает именно использование SOHO роутеров, которые являются преимущественно ARM-устройствами производителя Ubiquiti.
Провайдеры, вендоры и сами пользователи, которые не используют основные меры безопасности, такие как изменение паролей по умолчанию и блокировку сети, вероятно, послужили причиной появления «сотни тысяч, или даже миллионов» маршрутизаторов, используемых в настоящее время DDoS ботнетами, которые могут вызвать хаос в компаниях и у потребителей.
В то время как точно не известно, сколько именно SOHO-маршрутизаторов являются частью недавно обнаруженного ботнета, исследователи Incapsula обнаружили, что все они были удаленно доступны по HTTP и SSH на своих портах по умолчанию, и кроме того, «почти все имели учетные данные по умолчанию, настроенные вендором».
Incapsula считает, что новые устройства добавляются к сети посредством исполнения сценариев оболочки, которые ищут устройства с открытыми SSH портами, и которые могут быть доступны с помощью учетных данных по умолчанию.
В результате плохой безопасности, злоумышленники, скомпрометировавшие эти маршрутизаторы, могут потенциально перехватывать данные с помощью атаки посредника (MITM), захватывая куки и получая доступ к устройствам, подключенным к локальной сети.
После анализа 13000 вредоносных файлов, исследователи определили, что маршрутизаторы жертв были скомпрометированы с помощью версии вредоносной программы MrBlack — Trojan.Linux.Spike.A, а также Dofloo и Mayday, использовавшихся ранее для DDoS атак. Тем не менее, исследователи полагают, что несколько групп или отдельных лиц управляют процессом, и новые виды вредоносных программ постоянно появляются.
Между 30-м декабря 2014 года и 19 апреля этого года, Incapsula зафиксировала атаки с 40269 IP-адресов, принадлежащих 1600 провайдерам по всему миру, а также обнаружила, по меньшей мере, 60 командно-контрольных центров. Большинство взломанных маршрутизаторов (85%) находится в Таиланде и Бразилии. Тем не менее, большинство C&C центров в Китае и Соединенных Штатах (73% и 21% соответственно).
Трафик атак был зафиксирован из 109 стран.
По схеме захвата оборудования новый ботнет похож на действия хакерской группы Lizard Squad. Lizard Stresser является DDoS ботнетом, который также использует захваченные маршрутизаторы, и предлагает услуги DDoS атак всего за несколько долларов. Тем не менее, в то время как ботнет, который исследует Incapsula использует Spike для взлома устройств, Lizard Squad полагается на Linux.BackDoor.
Перед публикацией своих выводов, компания кибербезопасности связалась с производителями маршрутизаторов и интернет провайдерами, которые «оказались наиболее открытыми для злоупотреблений». Владельцам маршрутизаторов настоятельно рекомендуется отключить все виды удаленного доступа к платформам управления маршрутизатора и изменить свои учетные данные.