Система сетевого мониторинга Trend Micro зафиксировала аномальные объёмы сканирования, исходящего с территории Китая. Работу осуществляли алгоритмы с 3423 IP-адресов. Мишенью для атаки стали маршрутизаторы, IP-камеры и другие IoT-устройства в Бразилии.
Как у Mirai
По характеру атаки аналогичны поведению ботнета Mirai. Алгоритм захвата устройств включает анализ сети на предмет потенциально уязвимых устройств и использование заводских учётных данных для взлома. Однако помимо логинов и паролей по умолчанию в логах были обнаружены и другие комбинации:
-
![поведение сканеров](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" width="973px" viewBox="0 0 973 547"%3E%3C/svg%3E)
- Поведение сканеров
-
![пары заводских логинов и паролей](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" width="1269px" viewBox="0 0 1269 675"%3E%3C/svg%3E)
- Массив логинов и паролей для взлома
Проведённое исследование позволило выявить 167 маршрутизаторов, 16 IP-камер и 4 видеорегистратора, заражённых сканерами. По словам экспертов, это означает, что хозяин ботнета использовал скомпрометированные устройства для прощупывания мишеней.
Попытки войти в учетную запись широкополосного маршрутизатора
По большей части заражёнными девайсами оказались роутеры с начинкой от компании-разработчика полупроводников Broadcom и заводскими паролями.
Как обезопасить себя от угрозы?
Специалисты Trend Micro рекомендуют всем пользователям систем, подключённых к Интернету вещей, следовать следующим рекомендациям:
- всегда менять заводские пароли на наборы из минимум 15 знаков с включением букв различного регистра, цифр и специальных символов;
- по возможности создавать изолированную сеть для своих IoT-устройств с ограничением трафика на определённые порты.
Напомним, что в марте 2018 года эксперты по кибербезопасности обнаружили вирус RottenSys, превращающий Android-устройства в боты для зловредной сети.
Источник: блог Trend Micro
