Исследователи из Radware обнаружили новый ботнет, который использует те же уязвимости, что и боты Satori, для заражения IoT-устройств через сообщество игроков Grand Theft Auto.

Satori — это производная версия печально известного ботнета Mirai, который в 2016 году парализовал работу веб-сервисов Dyn — поставщика DNS-услуг, которыми пользуются владельцы ряда крупнейших сайтов.

Уязвимости, о которых идет речь, — это CVE-2014-8361 и CVE-2017-17215, они присутствуют в ряде моделей маршрутизаторов Huawei и Realtek, как отметил в блоге Radware исследователь Паскаль Джиненс (Pascal Geenens).

Проведенное исследование ботнета обнаружило командный сервер, размещенный в домене SanCalvicie.com; соответствующий сайт предлагает не только поддержку многопользовательского режима и моды для Grand Theft Auto: San Andreas, но и платные DDoS-услуги.

Поклонники видеоигр, в которых игрок попадает в иммерсивный 3D-мир насилия и острых ощущений, создали обширную коллекцию дополнительных компонентов и модификаций, или «модов», чтобы сделать впечатления от игры более яркими и насыщенными. Такие сайты, как San Calvicie, привлекают игроков GTA, которые хотят разместить собственные специальные версии GTA для игры в многопользовательском режиме.

«Возможность «Corriente Divina» («Божественный поток») описывается следующим образом: «Гнев божий обрушится на IP-адрес, который вы нам укажете», — цитирует Infosecurity слова Джиненса о размещенном на сайте предложении по проведению DDoS-атак. — Услуги DDoS предоставляются с гарантированной пропускной способностью 90–100 Гбит/с, с такими векторами, как поток запросов Valve Source Engine Query и 32-байтовый flood, скрипты TS3 и опция «Down OVH», которая, вероятнее всего, подобна атаке на хостинг-провайдер OVH, пострадавший от агрессии исходного ботнета Mirai в сентябре 2016 года. OVH — известный поставщик услуг хостинга для многопользовательских игровых сервисов, таких как сайт Minecraft, в свое время тоже подвергшийся атакам Mirai».

Вскоре после того как Джиненс сделал первое открытие, он вернулся на сайт и обнаружил, что условия участия изменились. Теперь список включал ссылку на «боты» и за ту же невысокую цену — по 20 долларов за IP — предлагал провести DDoS-атаку мощностью от 290 до 300 Гб/с.

DDoS-бот, использующий хостинг-услуги San Calvicie и названный первооткрывателем «JenX», хотя и создан на основе уже имевшегося кода, развертывается не так, как предшествующие версии.

«В отличие от прошлогодних IoT-ботнетов, эта бот-сеть использует серверы для выполнения сканирования и эксплойта, — пишет Джиненс. — Почти все ботнеты, включая Mirai, Hajime, Persirai, Reaper, Satori и Masuta, используют для сканирования и эксплойтов распределенный подход. То есть каждая жертва, инфицированная вредоносной программой, выполняет собственный поиск новых жертв. Такое распределенное сканирование обеспечивает экспоненциальный рост ботнета, однако для этого приходится жертвовать гибкостью и усложнять саму вредоносную программу».

Исследователь также отметил, что благодаря централизованному подходу ботнет JenX, уступая в скорости роста, лучше защищен от обнаружения.

Круг лиц, которым угрожает JenX, в основном составляют пользователи GTA San Andreas, однако появление этой бот-сети следует рассматривать как серьезное предупреждение.

«Ничто не мешает использовать этот дешевый сервис, всего по 20 долларов за жертву, для атак мощностью 290 Гбит/с на бизнес-цели и даже на правительственные сайты, — пишет исследователь. — Маловероятно, что группа San Calvicie стала бы этому препятствовать».

Компания Radware разослала связанные с JenX уведомления о ненадлежащем использовании, что позволило ограничить активность ботнета, однако он все еще работает. Сеть JenX реализована так, что вывести ее из строя очень непросто.

«Поскольку ботоводы выбрали парадигму с централизованным сканированием и эксплойтом, они легко могут переносить свою вредоносную деятельность на «пуленепробиваемые» хостинги, которые предоставляют анонимные VPS и выделенные серверы в офшорных зонах, — пишет Джиненс. — Таких поставщиков не волнуют злоупотребления. Некоторые из них даже предлагают услуги хостинга в даркнете. Если серверы, осуществляющие эксплойт, будут перенесены в даркнет, отследить их и вывести из строя будет гораздо труднее».

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное, Уязвимости