Специалисты из NewSky Security обнаружили новый ботнет, названный DoubleDoor. Он захватывает управление устройствами ZyXEL при помощи сразу двух уязвимостей. Это первая известная IoT-сеть, использующая комбинацию брешей, — ранее в несколько этапов совершались только Windows-атаки.

Сначала через бэкдор, в базе данных CVE значащийся под номером CVE-2015–7755, зловред обходит сетевой экран Netscreen производства Juniper Networks.

Введя любое имя пользователя с паролем <<< %s(un=’%s’) = %u, злоумышленники получают доступ с правами администратора к операционной системе ScreenOS через SSH- или Telnet-подключение.

После этого через уязвимость CVE-2016–10401, позволяющую при помощи пароля zyad5001 стать суперпользователем роутеров ZyXEL, ботнет захватывает маршрутизатор и присоединяет к своей сети.

По словам ведущего специалиста NewSky Security Анкита Анубхава (Ankit Anubhav), подобных вредоносов в истории IoT еще не встречалось.

Эксплуатировать две бреши умели Satori и Reaper, но только для того, чтобы захватывать разные устройства. Нынешний же экземпляр атакует однотипные роутеры, зато в два этапа. Мишенью становятся незащищенные маршрутизаторы ZyXEL PK5001Z или устройства с сетевым экраном Juniper Netscreen.

Аналитик предполагает, что в настоящий момент зловред находится на стадии разработки и тестирования. Всплеск активности DoubleDoor был отмечен с 18 по 27 января 2018 года и оказался менее масштабным, чем деятельность других ботнетов, таких как Mirai, Satori, Asuna или Daddyl33t.

Кроме того, после включения захваченных устройств в сеть вредонос не совершает с ними дальнейших действий, и это наводит на мысль, что кампания только готовится.

В перспективе DoubleDoor может расширить сферу своего влияния или использовать подконтрольные роутеры для DDoS-атак, распространения других зловредов или иных киберпреступлений. Поскольку оборудование, которое захватывает ботнет, часто используется для корпоративных нужд, вероятной конечной целью являются предприниматели.

При этом, даже если DoubleDoor больше не проявит себя, идея двухходовой атаки с проникновением через сетевой экран уже привлекла внимание разработчиков других вредоносов.

В 2015 году компания Juniper Networks выпустила патч, затрагивающий уязвимость ScreenOS. Тем не менее проблема до сих пор актуальна.

Вторым бэкдором в ноябре 2017-го воспользовался ботнет Mirai. Захваченные устройства применялись зловредом для совершения DDoS-атак.

Категории: Вредоносные программы