Выявлен крупный ботнет из незащищенных маршрутизаторов

13/05/2015 13:34

При разборе нескольких DDoS-атак, проводимых в рамках AnonOps, выявлено использованием нового ботнета, включающего более 40 тысяч маршрутизаторов для домашних и небольших офисных сетей, рассредоточенных по всему миру. Наибольшее число скомпрометированных устройств расположено в Тайланде и Бразилии. Первые атаки зафиксированы в конце декабря, после чего затихли и возобновились в прошлом месяце. Подавляющее большинство входящих в ботнет маршрутизаторов выпущено компанией Ubiquiti Networks и имеют проблемы с безопасностью, позволяющие из внешней сети получить доступ к устройству через HTTP или SSH. Так как многие пользователи не утруждают себя сменой параметров входа, атакующие воспользовались возможностью входа с использованием заданных по-умолчанию логина и пароля для запуска на устройствах вредоносного ПО. Кроме функций выполнения DDoS-атак, ботнет также включает в себя компонент для самораспространения, выполняющий сканирование сетей для выявления доступных через типовые пароли маршрутизаторов и установки на них вредоносного ПО. Координация активности ботнета производится через IRC. После включения в ботнет, устройства остаются уязвимыми и могут стать жертвой следующей волны подобной атаки. В среднем на устройствах обнаружено четыре набора вредоносного ПО - разные варианты троянов MrBlack, Dofloo и Mayday. Данный факт предполагает наличии совместного контроля над уязвимыми устройствами разными группами злоумышленников. Подавляющее число управляющих центров этих троянов размещается в Китае и США.
Источник