Спецпроекты

Безопасность

Новый ботнет атакует роутеры D-Link, используя уязвимость, которой 10 лет

Критический «баг» в ряде старых моделей роутеров D-Link обеспечивает беспроблемный захват контроля над ними. Ботнет, специализирующийся на разнообразных DDoS-атаках, активно охотится на такие роутеры.

Уязвимость 2015 года

Эксперты лаборатории информационной безопасности FortiGuard Labs при компании Fortinet выявили прежде неизвестный ботнет, который активно атакует старые роутеры D-Link.

В оболочках роутеров DIR-645 в 2015 г. была выявлена критическая уязвимость CVE-2015-2051, получившая 9,8 баллов по шкале угроз CVSS. Благодаря ей злоумышленники могли удалённо запускать произвольные команды через специально сформированные HTTP-запросы.

Атакованные таким образом устройства оказываются под полным контролем злоумышленников. Они получают возможность извлекать системную информацию, подключать роутеры к своему командному серверу и использовать их для осуществления DDoS-атак или для других своих «надобностей».

Хакеры атакуют роутеры с помощью уязвимости, которая известна уже девять лет

Ботнет Goldoon, в частности, использует CVE-2015-2051 для загрузки в роутер скрипта-дроппера, который определяет архитектуру программной оболочки устройства и загружает вредоносные компоненты следующей стадии для них. Среди поддерживаемых архитектур - aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha и PA-RISC.

Компонент второй стадии, в свою очередь, загружает с удалённого эндпойнта и запускает уже основной программный агент ботнета Goldoon. Запускаемый файл и дроппер затем удаляются из оболочки.

Попытки установить соединение с системой, с которой скачивается финальный вредонос, приводят к тому, что в браузере появляется сообщение: «Извини, ты агент ФБР, мы тебе помочь не сможем :( Проваливай, или я тебя убью :)»

27 видов DDoS

Установившись в систему, Goldoon обеспечивает себе постоянство присутствия с помощью различных методов автозапуска, открывает соединение с командным сервером и ожидает инструкций.

Основное его назначение, судя по всему, это проведение DDoS-атак. Вредонос поддерживает 27 различных методов DDoS через множество протоколов, в том числе, DNS, HTTP, ICMP, TСP и UDP.

«Данный сюжет в очередной раз доказывает, насколько часто роутеры оказываются самым пренебрегаемым компонентом любой сети», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, залогом успеха ботнета Goldoon оказывается изобилие функционирующих роутеров с уязвимостью, которой почти десять лет, и как будто бы полное отсутствие у их владельцев интереса что-то исправлять. «Впрочем, не исключено, что большинство этих роутеров - это "забытые" компоненты крупных корпоративных сетей, о существовании которых их администраторы могут и не догадываться», - подытожила Анастасия Мельникова.

Эксперт отметила, что эта проблема обсуждается давно, но зримых шагов к её исправлению пока не видно.

Роман Георгиев

Короткая ссылка