Исследователи обнаружили новый ботнет, который активно расширяется

Исследователями Check Point был обнаружен новый ботнет, получивший название «IoTroop». IoT-ботнет состоит из умных устройств с доступом к Интернету, зараженных одним и тем же ПО и удалённо контролируемых злоумышленником. Такие ботнеты использовались для одних из самых разрушительных кибератак по всему миру.

Хотя некоторые технические аспекты намекают на возможную связь с Mirai, это совершенно новая и гораздо более сложная кампания, которая быстро распространяется по всему миру. Пока слишком рано делать выводы о намерениях злоумышленников, но, учитывая прошлые DDoS-атаки Mirai, отключившие доступ в Интернет, организации должны провести надлежащую подготовку.

Впервые признаки угрозы были обнаружены в конце сентября с помощью системы предотвращения вторжений (Intrusion Prevention System, IPS) Check Point. Попытки хакеров использовать комбинации уязвимостей, найденных в различных IoT устройствах, лишь учащались.

С каждым днем вредоносное ПО эволюционировало и использовало все больше уязвимостей в IP-камерах. Атакам были подвержены устройства фирм D-Link, TP-Link, GoAhead, AVTECH, MikroTik, Linksys, Synology и многих других. Вскоре стало очевидно, что нападения поступали из разных источников и с различных IoT-устройств, то есть атаки распространялись самими устройствами.

Также ботнет выявили и специалисты Qihoo 360 Netlab, назвавшие его IoT_reaper. Исследователи отмечают, что он частично заимствует часть исходного кода Mirai, однако между ними есть существенные отличия:

• новый ботнет не взламывает слабые пароли, а лишь использует уязвимости IoT-устройств,
• сканирование не очень агрессивное, что позволяет ботнету оставаться незамеченным,
• имеется среда Lua, то есть могут поддерживаться и выполняться более сложные атаки.

Анализ цепочки заражения

С помощью Global Threat Map (глобальной карты угроз) Check Point, отображающей атаки на устройства под защитой IPS, команда исследователей начала изучать источники этих атак. Ниже приведен анализ одного из атакованных устройств.

Этот конкретный IP принадлежит камере GoAhead с открытым портом 81, работающим через TCP. При дальнейшей проверке доступ к файлу System.ini (показанному ниже) устройства на этом IP-адресе был проверен на предмет взлома. На обычной машине этот файл содержит учетные данные пользователя. Однако на этом устройстве была обнаружена отредактированная версия с командой Netcat, которая открывала обратную оболочку IP-адреса атаки. Это говорит о том, что машина была всего лишь одним звеном в цепочке: она была заражена и стала распространять вирус. В этом случае для заражения использовалась уязвимость CVE-2017-8225.

Дальнейшие исследования обнаружили схожее поведение у многих устройств. Всего оказалось заражено примерно 60% корпоративных сетей, входящих в глобальную сеть ThreatCloud, и их число продолжает увеличиваться.