DDoS-ботнет порабощает домашние и офисные роутеры

14.05.2015 | 13:46 Аналитика

Исследователи обнаружили ботнет, включающий десятки тысяч угнанных домашних роутеров.

Выявлен массивный DDoS ботнет из сети взломанных домашних и офисных маршрутизаторов.

Согласно докладу, опубликованному компанией кибербезопасности Incapsula, слабый уровень безопасности маршрутизаторов для малого офиса и дома (SOHO) привел к тому, что десятки тысяч маршрутизаторов были взломаны и взяты под контроль в качестве подчиненных систем в сети ботнет.

Распределенные атаки типа «отказ в обслуживании» (DDoS) являются распространенным способом нарушения работы сетей и онлайн-сервисов. Ботнет-сети часто состоят из взломанных компьютеров, маршрутизаторов и других устройств. Злоумышленники управляют ботнетом через командно-контрольные серверы (C&C) с целью переполнить полосу пропускания трафика определенных доменов.

В результате большого количества обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, сайты отказываются от легитимного трафика. DDoS атаки также иногда проводят для отвлечения внимания, а хакер использует другие методы, чтобы проникнуть в корпоративные сети.

Несколько десятков клиентов Imperva Incapsula недавно стали мишенью DDoS ботнета, состоящего из угнанных маршрутизаторов, осуществившего серию атак HTTP-флуда уровня приложений. Нападения были впервые обнаружены в декабре прошлого года, и компания с тех пор занимается смягчением последствий. Тем не менее, в последние 30 дней, атаки поднялись на новую высоту, увеличив вдвое количеством атакующих IP-адресов.

После расследования, Incapsula обнаружила, что атаки на домены компании, за которыми она следила, были только небольшой частью более широкой картины — гораздо большего DDoS ботнета, атакующего сотни других доменов вне сети Incapsula. Кроме того, векторы атаки за пределами HTTP-флуда на уровне приложений были направлены на сетевой слой защиты.

Особенным этот ботнет делает именно использование SOHO роутеров, которые являются преимущественно ARM-устройствами производителя Ubiquiti.

Провайдеры, вендоры и сами пользователи, которые не используют основные меры безопасности, такие как изменение паролей по умолчанию и блокировку сети, вероятно, послужили причиной появления «сотни тысяч, или даже миллионов» маршрутизаторов, используемых в настоящее время DDoS ботнетами, которые могут вызвать хаос в компаниях и у потребителей.

В то время как точно не известно, сколько именно SOHO-маршрутизаторов являются частью недавно обнаруженного ботнета, исследователи Incapsula обнаружили, что все они были удаленно доступны по HTTP и SSH на своих портах по умолчанию, и кроме того, «почти все имели учетные данные по умолчанию, настроенные вендором».

Incapsula считает, что новые устройства добавляются к сети посредством исполнения сценариев оболочки, которые ищут устройства с открытыми SSH портами, и которые могут быть доступны с помощью учетных данных по умолчанию.

В результате плохой безопасности, злоумышленники, скомпрометировавшие эти маршрутизаторы, могут потенциально перехватывать данные с помощью атаки посредника (MITM), захватывая куки и получая доступ к устройствам, подключенным к локальной сети.

После анализа 13000 вредоносных файлов, исследователи определили, что маршрутизаторы жертв были скомпрометированы с помощью версии вредоносной программы MrBlack — Trojan.Linux.Spike.A, а также Dofloo и Mayday, использовавшихся ранее для DDoS атак. Тем не менее, исследователи полагают, что несколько групп или отдельных лиц управляют процессом, и новые виды вредоносных программ постоянно появляются.

Между 30-м декабря 2014 года и 19 апреля этого года, Incapsula зафиксировала атаки с 40269 IP-адресов, принадлежащих 1600 провайдерам по всему миру, а также обнаружила, по меньшей мере, 60 командно-контрольных центров. Большинство взломанных маршрутизаторов (85%) находится в Таиланде и Бразилии. Тем не менее, большинство C&C центров в Китае и Соединенных Штатах (73% и 21% соответственно).

Трафик атак был зафиксирован из 109 стран.

По схеме захвата оборудования новый ботнет похож на действия хакерской группы Lizard Squad. Lizard Stresser является DDoS ботнетом, который также использует захваченные маршрутизаторы, и предлагает услуги DDoS атак всего за несколько долларов. Тем не менее, в то время как ботнет, который исследует Incapsula использует Spike для взлома устройств, Lizard Squad полагается на Linux.BackDoor.

Перед публикацией своих выводов, компания кибербезопасности связалась с производителями маршрутизаторов и интернет провайдерами, которые «оказались наиболее открытыми для злоупотреблений». Владельцам маршрутизаторов настоятельно рекомендуется отключить все виды удаленного доступа к платформам управления маршрутизатора и изменить свои учетные данные.