Живучий Linux-ботнет научился атаковать роутеры Huawei, Realtek, Asus

Известный ботнет Gafgyt позаимствовал
функциональность, связанную с DDoS-атаками,
из исходного кода Mirai, став еще опаснее, чем раньше.

С 2014 года с вами

Эксперты компании Uptycs опубликовали
исследование Linux-ботнета для интернета вещей Gafgyt (он же Bashlite), отметив, что он начал использовать некоторые
фрагменты кода печально знаменитого ботнета Mirai.

Gafgyt
впервые был обнаружен в 2014 г. Он в первую очередь атакует устройства интернета
вещей производства Huawei, Realtek, Asus и других производителей, которые затем
используются для проведения DDoS-атак. Ботнет также использует широко известные
уязвимости, такие как CVE-2017-17215, позволяющую запускать произвольные команды на роутерах Huawei, или CVE-2018-10561, позволяющую
обходить авторизацию на роутерах DasanGPON, для подгрузки дополнительного вредоносного
содержимого.

Теперь в нем появились
несколько модулей, импортированных прямиком из исходного кода Mirai (тот был опубликован
ещё в 2016 г.). Они дают Gafgyt функции для проведения сразу нескольких типов DDoS-атак, в частности, HTTP flooding, UDP flooding, несколько вариантов
TCP flooding. Все они позволяют
перегружать целевой сервер «мусорными» запросами через соответствующие
протоколы. Добавился также модуль STD, который шлет на определенный IP-адрес большое количество
последовательностей символов из предустановленного набора.

Старые уязвимости не подводят

Кроме того, ботнет перенял у
Mirai новые
способы компрометации устройств интернета вещей: в частности, брутфорс-атаку
через Telnet и
дополнительные эксплойты для существующих уязвимостей Huawei, Realtek и GPON. Эксплойты к уже упомянутой уязвимости в роутерах
Huawei и багу в роутерах Realtek (CVE-2014-8361)
используются для запуска произвольного кода на этих устройствах и закачки
дополнительного вредоносного содержимого.

Живучий ботнет позаимствовал DDoS-функции другого ботнета

В 2016 г. исходный код Mirai был слит в Сеть. Это
привело к росту числа его разновидностей, и без того немалого, и, как видим,
появлению ботнетов, копирующих его наиболее эффективные функции.

«Обращает на себя внимание
то, какие старые уязвимости этот ботнет эксплуатирует, им может быть до семи
лет, — говорит Алексей Водясов,
технический директор компании SEC Consult Services. — Это означает, что устройства, содержащие эти
уязвимости, до сих пор очень широко распространены и активно используются. В
целом устройства интернета вещей относятся к числу наиболее игнорируемых в
плане кибербезопасности, в то время как (и вследствие чего) новые ботнеты
цветут и множатся».

Источник

admin
Оцените автора
Добавить комментарий