В ходе DDoS-атак, за время праздников выбивших из седла сервисы Xbox Live и PlayStation Network (PSN), использовался ботнет из домашних сетевых маршрутизаторов. Сам ботнет был создан усилиями хакерской группировки Lizard Squad, которая и взяла на себя ответственность за произошедшие в Рождество атаки на крупные игровые сети.

Как выяснилось, вся схема (включая вывод из строя сетей) была задумана как реклама недавно запущенного хакерами веб-сайта для проведения DDoS-атак по заказу — Lizard Stresser. За определенную плату этот ресурс позволяет кому угодно вывести из строя веб-сайт, сервис или личную страницу жертвы. В работе хакерского сервиса, как утверждает блогер и ИБ-исследователь Брайан Кребс (Brian Krebs), используется сеть из зараженных маршрутизаторов.

При помощи группы исследователей, сотрудничающих с правоохранителями, Кребс обнаружил хакерский сервис, размещенный у хостинг-провайдера из Боснии. Злоумышленники полагаются на ботнет из уязвимых роутеров и других сетевых устройств. Вредоносный код, внедряемый хакерами, осуществляет сниффинг сети в поисках устройств, использующих заводские пары «логин-пароль» типа «admin/admin», «admin/12345» и т.д. Хотя в данный момент ботнет состоит главным образом из роутеров (как домашних, так и используемых в учреждениях), Кребс не исключает возможность заражения через них других устройств.

«Нет причин полагать, что зловред не способен освоить широкий спектр устройств на базе ОС Linux, в том числе серверные компьютеры и камеры, подключенные к Интернету», — признает Кребс.

За последнее время в маршрутизаторах были обнаружены несколько уязвимостей. В декабре исследователи обнаружили брешь, которую окрестили Misfortune Cookie; этому изъяну оказались подвержены более 12 млн маршрутизаторов.

Хотя новости о баге появились всего за неделю до атаки Lizard Squad на сети Xbox и PlayStation, Misfortune Cookie эта группа вряд ли использовала. Для эксплуатации Misfortune Cookie атакующему нужно отправить пакет, содержащий вредоносный HTTP-cookie, а веб-сайт Lizard Stresser, похоже, полагается на менее сложные техники.

«Каждый зараженный хост постоянно пытается распространить вредоносный код на новые домашние роутеры и другие устройства, принимающие входящие соединения (через протокол telnet) под дефолтными идентификаторами», — считает Кребс.

В своем твиттер-аккаунте хакеры хвастаются тем, что их DDoS-сервис располагает ботнетом из 250–500 тыс. зараженных маршрутизаторов, а на прошлой неделе был момент, когда он обработал более 900 млн запросов.

Хотя 30 декабря полиция уже задержала одного из предполагаемых членов хакерского коллектива — 22-летнего Винни Омари (Vinnie Omari) в Великобритании, его сообщники продолжают атаковать. Группировка также взяла на себя ответственность за недавние DDoS-атаки на популярный ресурс 8chan и сайт самого Кребса.

Категории: Хакеры