Новости

Обнаружена крупная бот-сеть, состоящая из домашних маршрутизаторов

14.05.2015
Обнаружена крупная бот-сеть, состоящая из домашних маршрутизаторов
12.05.2015 эксперты компании Incapsula сообщили об обнаружении крупной бот-сети, предназначенной для осуществления распределенных атак типа «отказ в обслуживании» (DdoS-атак) и состоящей из скомпрометированных маршрутизаторов, используемых для создания домашней или малой сети (Small office/home office, SOHO). Большинство взломанных маршрутизаторов являются продуктами компании Ubiquiti Networks и основываются на ARM-архитектуре.

С января по апрель 2015 года эксперты компании зафиксировали вредоносный трафик, исходящий с более чем 40 тыс. IP-адресов, принадлежащих 1,6 тыс. провайдерам по всему миру, а также выявили более 60 управляющих серверов бот-сетей (command-and-control server, C&C). Более 85% всех зараженных маршрутизаторов находятся в Таиланде и Бразилии, в то время как большинство управляющих серверов бот-сетей расположены в Китае (73%) и США (21%).

В общей сложности в инфицированных устройствах было обнаружено 13 тыс. образцов вредоносного программного обеспечения, 86% из которых являлись вариантами вредоносной программы MrBlack (Trojan.Linux.Spike.A). В среднем каждый скомпрометированный маршрутизатор был инфицирован четырьмя вариантами программы MrBlack, а также содержал дополнительные вредоносные файлы, используемые для проведения DdoS-атак, в том числе Dofloo и Mayday.

Первоначально эксперты компании предполагали, что причиной компрометации устройств являлось наличие уязвимости в программном обеспечении. Но исследование показало, что удаленный доступ ко всем маршрутизаторам был получен по протоколам HTTP и SSH через порты по умолчанию. Кроме того, аутентификационные данные для доступа к интерфейсу большинства маршрутизаторов были заданными по умолчанию (логин/пароль: admin/admin).

Получив доступ к устройству, злоумышленник мог перехватывать всю коммуникационную информацию пользователя и файлы «cookies», осуществлять атаки типа «человек по-середине» (man-in-the-middle, MitM), подключаться к другим устройствам в локальной сети (например, камерам видеонаблюдения и др.)

Кроме того, эксперты компании обнаружили, что ресурсы бот-сети используются злоумышленниками для сканирования сети Интернет с целью выявления других уязвимых маршрутизаторов (с открытыми портами SSH и учетными данными «по умолчанию»), которые также подключались к бот-сети.

Для предотвращения несанкционированного удаленного доступа к маршрутизатору специалисты компании рекомендуют пользователям отключить WAN-порты в настройках устройств, обновить программное обеспечение устройств до последней версии, а также изменить учетные данные, заданные производителем по умолчанию.