В сети появился сайт, где безымянный злоумышленник рекламирует бесплатный IP-сканер для построения ботнета, аналогичного Reaper. Начинающие хакеры, плохо разбирающиеся в исходных кодах, могут установить «бескорыстно» предложенную чужую наработку и сами оказаться жертвами заражения.

Ботнет Reaper появился совсем недавно, но уже показал хорошие перспективы роста. По оценке специалистов, зловред нашел около 2 млн IoT-устройств, пригодных для заражения, но пока лишь 10-20 тыс. из них стали «зомби». В основном это IP-камеры, цифровые и сетевые IP-видеорегистраторы. С помощью эксплойтов Reaper захватывает над ними контроль и добавляет к своей инфраструктуре.

«Каждое зараженное устройство получает набор адресов, которые оно проверяет на наличие указанных уязвимостей, — пояснила Майя Горовиц (Maya Horowitz), руководитель группы по расследованию угроз в компании Check Point. — Зловред в основном распространяется самостоятельно с минимальным вмешательством со стороны командного сервера».

Для поиска уязвимостей операторы ботнета используют IP-сканер. Именно такой инструмент предложил для неопытных хакеров сообразительный программист, воспользовавшись поднявшейся вокруг Reaper шумихой. Он создал и разрекламировал PHP-скрипт, при помощи которого можно идентифицировать устройства с серверами GoAhead (как правило, это IP-камеры для видеонаблюдения). Люди с недостаточным техническим образованием не обратили бы внимания на то, что большая часть исходного кода программы представляет собой набор случайных символов.

«В данном случае скрипт зашифрован несколько раз с помощью ROT13 и base64, а потом сжат с помощью утилиты gzip», — сказал старший исследователь из компании New Sky Security Анкит Анубхав (Ankit Anubhav), который и увидел эту хитрость. После декомпиляции кода он обнаружил бэкдор.

Таким образом, неопытный хакер получал в виде «братской руки помощи» не только функциональный IP-сканер, но и авторизацию своего собственного IP-адреса на удаленном сервере. После этого программа загружала и выполняла на сервере с установленным IP-сканером вредоносное ПО Kaiten, оно же Mirai, а незадачливый хакер становился частью одноименного ботнета.

Мошенник мог использовать бэкдор для сбора файлов GoAhead-Filtered.txt, содержащих результаты всех выполненных сканирований. Эта информация ему пригодилась бы для захвата камер со встроенным GoAhead — при этом всю работу за него уже сделали бы другие.

Сейчас сайт, который рекламировал сканер, уже не функционирует, но Анубхав сказал Bleeping Computer, что предприимчивый вирусописатель продолжает продавать другие скрипты на хакерских форумах.

Категории: Мошенничество