Спецпроекты

Знаменитый ботнет напал на накопители Zyxel

Безопасность Администратору Пользователю Техника

Всего месяц спустя после обнаружения критической уязвимости в программных оболочках некоторых устройств Zyxel новый ботнет начал пытаться их брутфорсить.

Месяца не прошло

Новая разновидность ботнета Mirai атакует сетевые накопители Zyxel, используя критическую уязвимость, выявленную всего месяц назад.

Речь идёт о «баге» CVE-2020-9054, допускающем инъекцию команд до авторизации, а следовательно - и запуск произвольного кода удалённо. Злоумышленникам достаточно заманить пользователя уязвимого устройства на нужный сайт, чтобы успешно произвести эксплуатацию уязвимости.

Уязвимыми являются накопители с версиями программных оболочек до 5.21 включительно.

Метод заражения

Новый ботнет, получивший название Mukashi, начинает со сканирования 23 порта TCP, затем разворачивает атаку с брутфорса, пытаясь использовать различные комбинации предустановленных логинов и паролей. Если такую комбинацию удаётся подобрать, контрольный сервер получает сигнал об этом; затем на уязвимое устройство пытаются загрузить shell-скрипт и запустить его, после чего удалить любые признаки своего присутствия.

Разновидность ботнета Mirai атакует сетевые накопители Zyxel, используя «дыру», найденную всего месяц назад

Загруженный и запущенный скрипт, в свою очередь, скачивает и устанавливает различные разновидности бота Mirai, запускает двоичные файлы и снова их удаляет.

Как отметили эксперты Palo Alto Networks Unit 42, ни один из этих двоичных файлов не присутствовал в базе VirusTotal на момент их обнаружения. К моменту публикации исследования Palo Alto, лишь четыре из восьми этих файлов попали в VirusTotal.

Эксперты компании Hold Security обнаружили на подпольных форумах для киберпреступников продажу подробных инструкций о том, как эксплуатировать уязвимость в устройствах Zyxel. Специалисты Palo Alto Networks Unit 42 также отметили, что кто-то пытался встроить эксплойт к устройствам Zyxel в троянец Emotet.

И снова Mirai

Исходный код Mirai был опубликован в 2016 г. После этого расплодились его многочисленные деривативы, которые до сих пор портят кровь рядовым пользователям и системным администраторам.

Вариант под названием Mukashi, как и большинство других разновидностей того же ботнета, начинает со сканирования порта 23, а затем привязывается к порту 23448, чтобы предотвратить запуск более одного экземпляра ботнета. От множества предшественников Mukashi отличается использованием специально созданного протокола шифрования.

«С того момента, когда был опубликован тестовый эксплойт к уязвимости в аппаратах Zyxel, прошло всего около месяца, - говорит Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services, - что вполне закономерно, учитывая, насколько тривиальна эксплуатация и насколько легко ввести уязвимое устройство в ботнет. Стоит отметить, что Mukashi, как и почти любой другой ботнет, обладает DDoS-функциональностью, а это означает, что каждое устройство, пользователи которого не сменили «заводской» пароль, несёт угрозу другим».

Zyxel почти сразу выпустил исправления для уязвимости.



Персона месяца

Инвесторам интересен не российский интернет, а российские технологии

Кенес Ракишев

казахстанский миллионер, создатель криптосмартфона

Тема месяца

Что делать ИТ-директору во время пандемии

Перед ИТ-руководителями встают задачи, связанные с обеспечением удаленной работы сотрудников.