Организация информационной безопасности


Новый конкурент IoT-ботнета Mirai включает порядка 2 млн устройств

Фотография предоставлена:

С середины сентября ботнет IoT_reaper вырос до гигантских масштабов.

Ряды мощных ботнетов, состоящих из устройств сферы «Интернета вещей» (Internet of Things, IoT), продолжают пополняться. Недавно в Сети был замечен новый конкурент ботнетов Mirai и Necurs, получивший название IoT_reaper, с середины сентября выросший до гигантских масштабов. По оценкам исследователей из компанийQihoo 360 NetlabиCheck Point , в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.

По словам исследователей, код вредоносного ПО, используемого для создания ботнета, включает фрагменты кода Mirai, но при этом содержит ряд новых функций, отличающих Reaper от конкурентов. Главное его отличие заключается в методе распространения. Если Mirai ищет открытые Telnet-порты и пытается скомпрометировать устройство, используя перечень распространенных дефолтных или ненадежных паролей, то Reaper в основном применяет эксплоиты для захвата контроля над уязвимыми устройствами и добавления их к C&C-инфраструктуре.

В настоящее время Reaper использует эксплоиты для уязвимостей в устройствахD-Link( моделиDIR-600 и DIR-300), маршрутизаторах и системах видеонаблюдения Netgear ( ReadyNAS Surveillance ,DGN1000 , DGN2200), маршрутизаторахLinksys(модели E1500/E2500), IP-камерахGoAhead ,JAWS ,VacronиAVTECH . Reaper также атакует маршрутизаторы MicroTik и TP-Link, сетевые накопители Synology NAS и серверы Linux.

На данный момент организаторы ботнета работают над его расширением, добавляя новые эксплоиты и устройства. По словам экспертов Qihoo 360 Netlab, списки ожидания C&C-серверов ботнета включают более 2 млн инфицированных гаджетов.

Специалисты Qihoo 360 Netlab и Check Point отмечают, что пока ботнет не осуществил ни одной DDoS-атаки. По их словам, вредоносное ПО включает среду для исполнения скриптов на языке Lua, что позволяет операторам добавлять модули для различных задач, например, DDoS-атак, перенаправления трафика и пр. Кроме того, Reaper включает 100 открытых DNS-резолверов. Данная функциональность позволит ботнету с легкостью осуществлять атаки типа DNS-амплификация.

24.10.2017 09:46