Растущий не по дням, а по часам ботнет IOtroop за месяц заразил миллион компаний и с легкостью может затмить Mirai по масштабу разрушений. Зловред и ботнет, получившие имя IOtroop, еще в сентябре нашли исследователи из Check Point. Они предупреждают, что в 60% корпоративных сетей есть как минимум одно уязвимое устройство.

Как и в случае с Mirai, целью этого зловреда являются слабо защищенные устройства, подключенные к Сети, такие как роутеры и беспроводные IP-камеры, выпускаемые D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology и GoAhead.

В предварительных результатах исследования Check Point сообщается: «На текущий момент, по нашим оценкам, заражено более 1 миллиона организаций по всему миру от США до Австралии, и это число постоянно растет».

Несмотря на то что IOtroop содержит такой же фрагмент, как и код Mirai, это новое вредоносное ПО и новая кампания, заявила в интервью Threatpost Майя Горовиц (Maya Horowitz), руководитель группы по расследованию угроз компании Check Point.

«Этот зловред потенциально более опасен, чем Mirai, — сказала Горовиц. — Он нацелен на гораздо большее количество уязвимостей у гораздо большего числа устройств».

В октябре 2016 года зловред Mirai заражал IoT-устройства, получая к ним доступ с помощью установленных по умолчанию паролей и имен пользователя. Затем зловред объединил зараженные устройства в ботнет и начал проводить DDoS-атаки. Самая мощная из них пришлась на DNS-сервис Dyn, в результате чего некоторые известные сайты оказались недоступны в течение нескольких часов.

По словам Горовиц, IOtroop и Mirai имеют общие черты — например, создают глобальную армию из сетевых устройств, способных проводить разрушительные DDoS-атаки.

«Наиболее интересно то, что новый зловред действует гораздо более изощренно, чем Mirai. Он не только использует стандартные комбинации имени пользователя и пароля для проникновения на устройство, но и пытается эксплуатировать более десятка уязвимостей», — сообщила она.

В случае с беспроводными IP-камерами GoAhead атакующие воспользовались широко известной уязвимостью, которая позволяет обойти аутентификацию (CVE-2017-8225), — она была обнаружена в марте и затрагивает более 1250 моделей. В случае с другими устройствами, например с беспроводным роутером Linksys Range Plus WRT110, злоумышленники эксплуатируют известную с 2014 года уязвимость, которая позволяет выполнять команды удаленно. Эта уязвимость существует, поскольку веб-интерфейс маршрутизатора не санирует пинг-запросы и не защищен от CSRF-атак.

Исследователям удалось обнаружить несколько командных серверов, через которые обновлялся диапазон атакуемых IP-адресов.

«Каждое зараженное устройство получает набор адресов, которые оно проверяет на наличие указанных уязвимостей, — объяснила Горовиц. — Зловред в основном распространяется самостоятельно с минимальным вмешательством со стороны командного сервера. Тем не менее, мы все еще исследуем код и занимаемся обратной разработкой, чтобы лучше понять его работу».

Исследователи полагают, что ботнет быстро растет и что вскоре мы можем стать свидетелями крупной DDoS-атаки: «Наши исследования показывают, что сейчас мы наблюдаем затишье перед бурей».

Пока неизвестно, кто стоит за этим зловредом и ботнетом, также неизвестны цели и сроки возможной атаки.

«Еще слишком рано говорить о намерениях злоумышленников, однако нужно быть наготове и иметь необходимые механизмы защиты, способные отразить возможную атаку», — считают исследователи.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Уязвимости