Создатели IoT-бота Bashlite расширили его возможности: теперь он умеет проводить несколько вариантов DDoS-атак, обладает функциями бэкдора, а также способен удалять клиенты конкурентов.

Очередной вариант Bashlite нацелен на линейку оборудования WeMo компании Belkin и доставляется на устройство посредством эксплуатации уязвимости в прошивке приборов, закрытой в 2015 году Производитель отметил, что угроза актуальна лишь для тех пользователей, которые до сих пор не обновили системное ПО.

Необычный штамм зловреда, также известного как Gafgyt и Qbot, обнаружили специалисты Trend Micro. Они выяснили, что ботоводы используют доступный на сайте Metasploit RCE-эксплойт для проведения атак на умные устройства с API-интерфейсом UPnP.

Оказавшись на гаджете, некоторые образцы Bashlite запускают Telnet-сканер для поиска новых целей и атакуют их, используя подбор паролей. Если взлом удается, на скомпрометированное IoT-устройство загружается дроппер бота Hakai, заимствующего код у Bashlite. На момент исследования попытки экспертов установить клиент еще одной вредоносной сети заканчивались неудачей, поскольку сервер, где хранился дистрибутив, был недоступен.

Как выяснили аналитики, по команде из центра управления обновленный Bashlite может выполнять несколько типов DDoS-атак:

  • HOLD — удерживает подключение к IP-адресу и порту в течение определенного времени.
  • JUNK — дополнительно к подключению по целевому IP-адресу отправляет на него случайную последовательность символов.
  • UDP — массовая отправка UDP-пакетов на сервер жертвы.
  • STD — то же самое, что UDP.
  • TCP — массовая передача TCP-запросов.
  • VSE — атака с усилением DDoS-трафика, нацеленная на исчерпание ресурсов жертвы.
  • OVH — DDoS-атака с целью обхода средств защиты.
  • ACK — передача ACK-подтверждений для нарушения канала передачи данных.
  • GRENADE — осуществление всех типов атак одновременно.

Другая особенность новой итерации — бэкдор, через который злоумышленники могут устанавливать на устройство криптомайнеры и другое ПО, а также удалять активные процессы конкурирующих зловредов.

Данный IoT-бот имеет множество вариантов, поскольку несколько лет назад его исходники попали в сеть и с тех пор используются различными группировками. Еще в 2016 году ИБ-эксперты обнаружили хорошо организованный ботнет на базе этого зловреда, который насчитывал более сотни командных серверов.

Двумя годами позже аналитики «Лаборатории Касперского» отметили значительную долю одного из форков Bashlite — зловреда Gafgyt — в брутфорс-атаках на незащищенные порты SSH и Telnet-соединения. Тогда же стало известно о кампании Hakai, нацеленной на роутеры D-Link и контроллеры Realtek.

Категории: DoS-атаки, Вредоносные программы, Главное