Спецпроекты

Безопасность Администратору Пользователю Стратегия безопасности Интернет Веб-сервисы Техника

Новый ботнет лишь за одну неделю вырос в 600 раз

Ботнет P2PInfect, обнаруженный в июле, начал стремительно расти. Скомпрометированные им серверные системы раскиданы по всему миру

Разыгрался-расплясался

Обнаруженный в июле 2023 г. ботнет P2PInfect за последующие два месяца вырос в 600 раз. Такому размаху способствовало появление более скрытной версии «червя», с помощью которой ботнет распространяется на новые системы.

В июле эксперты Unit 42 (Palo Alto Networks) обнаружили, что этот вредонос атакует инстансы Redis - опенсорсного хранилища данных типа «ключ-значение», располагающегося целиком в памяти сервера, - используя критическую уязвимость, характерную для этого ПО и под Windows, и под Linux.

Уязвимость, о которой шла речь, допускала запуск произвольного кода в среде Redis.

haker_kandinsky_700.jpg
Фото: Kandinsky
Хакер в представлении ИИ Kandinsky

Эксперты компании Cado Security, отслеживавшие активность ботнета с тех самых пор, сейчас отмечают, что пострадавшие от него системы находятся практически по всему миру - в Китае, в США, в Германии, Сингапуре, Гонконге, Великобритании и Японии.

Кроме того, как отметили эксперты Cado, новые перехваченные сэмплы вредоноса указывают на значительные усовершенствования кода, улучшившие его характеристики как «червя», - и резкий рост активности.

Об этом свидетельствовали данные, снятые с honeypot-систем, приманок для вредоносов, то есть компьютеров с уязвимым ПО и слабой защитой от доступа, используемых для перехвата вредоносных программ.

Если в июле, августе и начале сентября каждую неделю наблюдались лишь от 2 до 6 попыток P2PInfect проникнуть в honeypot-систему в неделю, то между 12 и 19 сентября таких попыток было насчитано 3619 - то есть количество атак выросло в 600 раз.

Специалисты Cado отметили также, что количество вариантов «червя» также значительно выросло. Это указывает на то, что разработчики P2PInfect работают с очень высокой степенью активности.

Как расти и не попасться

Наибольший интерес вызвали самые свежие варианты вредоноса, которые делают «червя» P2PInfect куда более скрытным, чем раньше, и более опасным.

Разработчики снабдили вредонос новым механизмом сохранения присутствия на основе задач cron; благодаря ем основной компонент вредоносной программы перезапускается каждые 30 минут.

Кроме того, вредонос теперь оснащён дополнительным компонентом, который коммуницирует с первым через локальный серверный сокет, и если первый компонент останавливает работу или оказывается удалённым, с другого узла ботнета подтягивается и перезапускается новая копия.

Вдобавок теперь вредонос использует ключ SSH для перезаписи любых других ключей. Этим он отсекает легитимным владельцам и пользователям возможность подключаться к скомпрометированной системе через SSH. А если вредонос добивается root-привилегий, то он ещё и меняет всем пароли на 10-символьную, произвольно генерируемую комбинацию, так что устройство перестаёт быть доступным для законных владельцев полностью.

Наконец, как отмечают эксперты, P2PInfect стал использовать С-структуры (C struct configuration) в качестве настроек для клиентского компонента, который теперь можно обновлять прямо в памяти. Ранее никаких настроечных составляющих у вредоноса не наблюдалось.

Для чего это всё

В Cado пока затрудняются определить назначение ботнета. Некоторые из вариантов его клиентского вредоноса пытались догружать компоненты для криптомайнинга, но на уже скомпрометированных устройствах ничего похожего на генерацию криптовалют не наблюдается.

«Возможно, это временно. У ботнетов не так много вариантов использования, - это либо DDoS-атаки, либо спам, либо криптомайнинг, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - В данном случае мы наблюдаем быстро растущий ботнет с очень агрессивным механизмом распространения и самозащиты. Это свидетельствует о том, что нужны не только большие вычислительные мощности но и стабильность и продолжительное сохранение работоспособности одних и тех же узлов. То, что ботнет создаётся под криптомайнинг, тут выглядит наиболее вероятной версией. Хотя нельзя исключать и гибридное использование и порционную сдачу ботнета в аренду».

Учитывая текущий размер ботнета, его географическую распределённость, способность к самобновлению и скорость разрастания, P2PInfect может стать ценным активом для любых кибергруппировок, - отмечают исследователи Cado.

Издание Bleeping Computer, в свою очередь, пишет, что все эти «достоинства» делают ботнет очень серьёзной угрозой. Как бы он ни использовался.

Роман Георгиев

Короткая ссылка