Десятки тысяч домашних и офисных роутеров заражены Linux-троянами
Свыше 40 тыс. роутеров в 109 государствах оказались подключены к крупному ботнету, используемому для проведения DDoS-атак. Жертвами действий злоумышленников оказались те пользователи, которые не позаботились сменить стандартные заводские логины и пароли для доступа к устройствам.Свыше 40 тыс. домашних и офисных роутеров оказались звеньями крупного ботнета («зомби-сети»), используемого для проведения DDoS-атак (распределенных атак типа «отказ в обслуживании»), сообщает компания Incapsula, специализирующаяся на защите от атак этого вида.
Как выяснили специалисты, все подключенные к ботнету роутеры заражены тремя видами троянов — MrBlack, Dofloo и Mayday. Эти трояны, предназначенные для заражения устройств под управлением операционных систем с ядром Linux, были разработаны злоумышленниками специально для проведения DDoS-атак, говорится в докладе Incapsula.
Причем используется ботнет большим количеством исполнителей. Об этом свидетельствуют результаты анализа атак, выполненных с помощью этого ботнета. Они отличаются различной направленностью и характером, отмечается в докладе.
При заражении злоумышленники используют стандартные логины и пароли для доступа к настройкам роутеров, устанавливаемые производителем устройства. Взаимодействие к роутерами осуществляется по протоколам HTTP и SSH посредством стандартных портов.
Первые атаки с помощью ботнета эксперты компании обнаружили в декабре 2014 г. В период с декабря прошлого года по 19 апреля 2015 г. эксперты насчитали 40269 IP-адресов, принадлежащих 1600 провайдерам из разных стран, с которых исходил вредоносный трафик.
География ботнета и расположение командно-контрольных серверов
Более 80% всех IP-адресов находились в Таиланде (64%) и Бразилии (21%). Помимо Таиланда и Бразилии, лидируют по количеству зараженных роутеров США (4%), Индия (3%) и Сербия (1%). В общей же сложности ботнет из зараженных маршрутизаторов охватывает 109 государств.
При этом экспертам также удалось выяснить IP-адреса приблизительно 60 командно-контрольных серверов злоумышленников. Как выяснилось, большая часть из них находился в Китае (73%) и США (21%). Большое количество командно-контрольных серверов также расположено в Гонконге (5%).
Ботнет имеет встроенную функцию автоматического расширения. Он сканирует интернет на наличие роутеров и пытается получить к ним доступ, используя стандартные логины и пароли. Если они подходят, в память устройства устанавливается троян, и устройство подключается к ботнету. По данным Incapsula, сеть включает большое количество роутеров марки Ubiquiti. Другие марки специалисты не назвали.
Незащищенные роутеры могут использоваться злоумышленниками и для других целей — не только проведения DDoS-атак, утверждают эксперты. Например, для перехвата трафика и доступа к домашним и офисным камерам видеонаблюдения. Специалисты рекомендуют владельцам поменять заводские логины и пароли и отключить в настройках роутера доступ к нему извне.