Исследователям из массачусетского стартапа Recorded Future, специализирующегося на сборе и анализе информации об интернет-угрозах, удалось с большой долей уверенности определить, что DDoS-атаки, зафиксированные в январе в финансовом секторе Нидерландов, проводились с ботнета IoTroop.

Бот-сеть IoTroop, она же Reaper, впервые появилась на радарах специалистов по ИБ в сентябре. Лежащий в ее основе зловред был распознан как вариант DDoS-бота Mirai, способный проникать на сетевые и IoT-устройства не только подбором логинов и паролей, но также посредством эксплуатации уязвимостей. Пытаясь определить размеры IoTroop, эксперты разошлись во мнениях, но какой бы ни была величина нового ботнета, он до сих пор ни разу не был замечен в реальных атаках.

Результаты нового исследования свидетельствуют о том, что эта долго дремавшая угроза не зря копила силы. Эксперты Recorded Future почти наверняка установили, что IoTroop был задействован как минимум в одной из январских DDoS-атак в Нидерландах. На линии огня оказались крупнейшие голландские банки — ING, ABN Amro, Rabobank. Источник вредоносного трафика на тот момент определить не удалось.

Согласно данным Recorded Future, сильнейшая из этих DDoS, на пике показавшая 30 Гбит/с, проводилась с отражением и усилением трафика через открытые DNS-резолверы. В ней приняли участие не менее 13 тыс. зараженных устройств; 80% из них были идентифицированы как роутеры производства MikroTik. В составе атакующего ботнета засветились также уязвимые серверы Apache и IIS, роутеры от Ubiquity, Cisco и ZyXEL, а также разнообразные веб-камеры, смарт-телевизоры и цифровые видеорегистраторы охранных систем.

Некоторые из этих IoT-устройств, по словам исследователей, ранее никто не рассматривал в качестве потенциальных жертв IoTroop — например, видеорегистраторы производства Dahua, телевизоры Samsung UE55D7000, смарт-устройства под управлением специализированной ОС Contiki, обеспечивающей подключение к Интернету.

Совокупно Recorded Future удалось выявить заражения в 139 странах; более половины из них пришлось на долю России, Бразилии, Украины, Китая и США. Эксперты полагают, что столь значительный перевес объясняется лишь популярностью бренда MikroTik в этих странах.

Примечательно, что на всех зараженных роутерах этого вендора был открыт TCP-порт 2000, который обычно резервируется для тестирования пропускной способности каналов. По словам авторов исследования, на новейших устройствах MikroTik этот порт открыт по умолчанию.

Исследователи также идентифицировали семь IP-адресов, с которых, по всем признакам, осуществлялось управление IoTroop. Проведенный в Recorded Future анализ подтвердил, что ботнет быстро растет, пополняя свои боевые порядки за счет использования брешей в разнообразных устройствах, подключенных к Интернету. Авторы одноименного зловреда оперативно его обновляют по мере появления открытых сведений о новых уязвимостях.

Во избежание заражения авторы исследования настоятельно рекомендуют пользователям придерживаться нехитрых правил:

  • после первого использования устройства сразу заменить дефолтный пароль;
  • если есть такая возможность, обязательно обновлять прошивку;
  • не скупиться на VPN для устройств с удаленным доступом, таких как IP-камеры;
  • отключить ненужные службы (например, Telnet) и закрыть неиспользуемые порты.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное, Уязвимости