За последние несколько месяцев злоумышленники скомпрометировали десятки тысяч домашних и офисных маршрутизаторов, чтобы построить из них ботнет для проведения DDoS-кампании.

Первые DDoS с участием данного ботнета были обнаружены еще в конце прошлого года, 29 декабря, но за последний месяц после короткого затишья количество используемых в атаках IP-адресов удвоилось. Сотрудники ИБ-компании Incapsula наблюдают эти атаки со времени первых жалоб, поданных клиентами, однако апрельский всплеск DDoS-активности вынудил их провести более глубокий анализ.

Исследователи обнаружили активный ботнет, состоящий в основном из маршрутизаторов, производимых калифорнийской компанией Ubiquiti Networks. Вначале эксперты грешили на некую общую уязвимость в прошивке, однако впоследствии выяснилось, что ко всем маршрутизаторам можно получить удаленный доступ по HTTP и SSH через дефолтные порты и с учетными данными, по умолчанию заданными производителем. Комбинация этих факторов делает сетевые устройства уязвимыми к прослушке, MITM-атакам, перехвату куки, а также позволяет атакующим получить доступ к другим устройствам в локальной сети.

Новый ботнет активно сканирует Сеть на наличие некорректно сконфигурированных маршрутизаторов и исполняет shell-скрипты, пытаясь получить доступ через SSH-порты при помощи дефолтных идентификаторов.

«Для злоумышленников это проще пареной репы, и каждое подобное сканирование оказывается эффективнее предыдущего, — говорится в отчете Incapsula. — Ботнет позволяет им использовать распределенное сканирование, увеличивая шанс обойти распространенные защитные техники вроде черных списков, ограничения скорости и репутационных фильтров».

Всего исследователями было обнаружено 40 269 IP-адресов, распределенных между 1600 провайдерами из 109 стран, включая США и Индию. Тем не менее 85% маршрутизаторов оказались прописанными в Таиланде и Бразилии.

Каждый скомпрометированный маршрутизатор был заражен зловредами, используемыми в DDoS-атаках, в частности, были обнаружены четыре варианта MrBlack, а также Dofloo и Mayday. Некоторые из этих зловредов для своих отчетов использовали IRC-канал AnonOps; не исключено, что к компрометации этих устройств приложила руку хактивистская группировка Anonymous.

По мнению экспертов Incapsula, за этой DDoS-кампанией стоит хакерская группировка Lizard Squad, которая попала в центр внимания в минувшее Рождество, когда положила Xbox Live и PlayStation Network при помощи похожего, если не того же самого, ботнета. В ботнет Lizard Squad, обнаруженный примерно в то же время, был внедрен схожий код, и он так же искал уязвимые маршрутизаторы в попытках расширить свои владения, но использовал другой зловред (Lizard Squad, Linux.Back-Door.Fgt.1) для проведения атак.

Тем не менее сделанное в прошлом месяце заявление Lizard Squad о наличии нового, более мощного ботнета совпало со всплеском DDoS-активности, наблюдаемым Incapsula.

Представители компании заявили, что «подобные непрямые корреляции не могут служить существенными свидетельствами причастности этой группы», однако они продолжают усматривать взаимосвязь между этими событиями.

Специалисты Incapsula сообщили в Ubiquiti о своей находке и советуют всем владельцам маршрутизаторов удостовериться в том, что у них установлены новейшие прошивки, а в конфигурации не используются дефолтные учетные данные.

Категории: DoS-атаки, Хакеры