Неделю назад исследователи из Check Point рассказали о новой находке — вредоносной программе IoTroop, заразившей, по их оценкам, более 1 млн организаций посредством эксплуатации уязвимостей в роутерах и IP-камерах. В Arbor Networks тоже изучают эту угрозу и обнаружили, что истинные масштабы бедствия пока гораздо скромнее.

Согласно наблюдениям Arbor, в настоящее время размеры IoT-ботнета Reaper, как его называют в этой компании, колеблются в пределах 10-20 тыс. зараженных устройств. При этом эксперты не исключают, что ситуация может измениться в любой момент: сканеры, используемые злоумышленниками, обнаружили еще 2 млн хостов, пригодных для заражения.

Почему эти многочисленные кандидаты до сих пор не приобщены к бот-сети, неясно. Причин тому, по мнению исследователей, может быть несколько: ошибки идентификации в коде сканера, проблемы с производительностью или масштабированием у загрузчика Reaper, умышленное ограничение распространения вредоносной программы (с целью уменьшить риск обнаружения).

Анализ бота, проведенный в Arbor, позволяет предположить, что Reaper был создан в Китае. Часть кода этот IoT-зловред заимствует у Mirai, хотя его клоном не является. В пользу этого утверждения говорит также тот факт, что при распространении Reaper полагается на эксплойт уязвимостей, а не на взлом паролей, как Mirai.

Из техник DDoS, доступных, но пока не используемых данным зловредом, исследователи пока с уверенностью идентифицировали SYN flood, ACK flood, HTTP flood и атаки с отражением и усилением трафика посредством использования открытых DNS-резолверов. Не исключено, что новоявленный IoT-ботнет будет в дальнейшем предоставляться как сервис для проведения DDoS-атак на территории Китая.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное