По данным оператора национального домена Чехии, в конце мая попытки получения удаленного доступа путем подбора паролей к Telnet резко возросли и в три раза превысили аналогичные атаки на SSH. В последующие месяцы вредоносный поток на Telnet-ловушках CZ.NIC несколько снизился, однако до сих пор вдвое выше весеннего уровня. Как удалось определить, основная активность исходит с домашних роутеров и камер видеонаблюдения; по всей видимости, злоумышленники строят новый ботнет (к примеру, для проведения DDoS-атак) или расширяют прежние.

По словам чешских исследователей, и Telnet, и SSH используются для удаленного взаимодействия с устройствами, оба предлагают консольный доступ и потому пользуются популярностью у потенциальных злоумышленников. Однако за последние годы более защищенный протокол SSH стал стандартом де-факто для таких соединений, инициаторы брутфорс-атак хорошо это знают и обычно выбирают мишенью именно эту службу. Резкий рост попыток залогиниться в Telnet — явление экстраординарное, и наблюдатели из CZ.NIC решили разобраться в происходящем.

Прежде всего они отметили значительный рост числа IP-адресов, с которых велись атаки. «Был момент, когда суточная норма увеличилась примерно с 30 тыс. уникальных IP-адресов до 100 тыс. и более», — пишет Бедржих Кошата (Bedřich Košata) в блоге CZ.NIC. В разделении по странам наибольшая часть брутфорс-трафика исходила с территории Китая, Бразилии, Индии, Тайваня и Вьетнама. Повышение активности отдельных IP также было зафиксировано, но оно было не столь заметным.

Использование Shodan помогло установить, что из 6,5 млн IP, принимающих участие в брутфорс-атаках, более 1,8 млн (немногим более 27%) связаны со встроенными HTTP- и RTSP-серверами. При этом наибольшую активность проявляют используемые домашними роутерами RomPager и gSOAP устаревших, уязвимых версий, а также H264DVR 1.0 и серверы производства Dahua Technology, характерные для камер видеонаблюдения.

По состоянию на начало сентября CZ.NIC ежедневно регистрировала порядка 20 тыс. новых источников вредоносного трафика. Чтобы пользователи могли проверить свои гаджеты на предмет компрометации в рамках текущей киберкампании, исследователи запустили онлайн-сервис AmIHacked.turris.cz. Вне зависимости от результата Кошата также советует ограничить доступ к подключенным к Сети смарт-устройствам, поместив их за сетевой экран.

Категории: Аналитика, Хакеры