Как стало известно Bleeping Computer, недели полторы назад основные командные серверы IoT-ботнета Satori были отключены совместными усилиями интернет-провайдеров и специалистов по ИБ. Однако создатель Satori не желает сдаваться: сразу после разгромной акции в Интернете наблюдался мощный всплеск сканов на портах 52869 и 37215 — видимо, с целью поиска уязвимостей, пригодных для установки бота.

Ботнет Satori, построенный на основе модификации DDoS-бота Mirai, известной как Mirai Okiru, был обнаружен исследователями из Check Point в ноябре. В отличие от своего именитого предшественника, Satori распространяется посредством эксплуатации уязвимостей — CVE-2014-8361, позволяющей внедрять команды через интерфейс UPnP SOAP, и CVE-2017-17215, свойственной роутерам Huawei HG532. Эксплойт-атаки при этом проводятся на порты 52869 и 37215 соответственно.

На момент обнаружения быстро растущего ботнета уязвимость в роутерах Huawei еще не была идентифицирована. Эксперты Check Point проанализировали новую брешь нулевого дня и 27 ноября сообщили о ней в Huawei, параллельно выпустив соответствующий бюллетень.

Как оказалось, названные роутеры этой компании поддерживают протокол UPnP, реализованный в соответствии со стандартом TR-064 и используемый для удаленного администрирования. Из-за особенностей конфигурации HG532 сервис DeviceUpgrade (обновления прошивок) был доступен из Интернета на порту 37215, и подача на этот порт пакетов с целью внедрения команд  могла повлечь исполнение вредоносного кода на сетевом устройстве.

Huawei выпустила обновления для поддерживаемых версий прошивки, а пользователей устаревших сборок призывает перейти на более новые варианты. В качестве временных мер защиты таким пользователям рекомендуется изменить настройки встроенного брандмауэра и дефолтный пароль, а также развернуть сетевой экран на стороне оператора связи.

По данным Check Point, ассоциированные с Satori очаги заражения были первоначально сосредоточены в Аргентине, а затем распространились также на Египет, Турцию, Украину, Венесуэлу и Перу. На момент отключения C&C-серверов в состав этого ботнета входило примерно 500 – 700 тыс. зараженных устройств, способных проводить DDoS-атаки по типу UDP или TCP flood. Параметры для проведения атак боты получают с командного сервера, связываясь с ним по вшитому в код адресу и используя кастомный протокол. Насколько известно, существенных DDoS с участием Satori пока не наблюдалось.

Обнаружив внушительный трафик, большое количество C&C и использование 0-day, в Check Point предположили, что имеют дело с опытным противником, однако расследование показало, что это не так. Автора новоявленного штамма Mirai (отличного от Mirai Akuma, ориентированного на роутеры ZyXEL) удалось идентифицировать как Nexus Zeta — вирусописателя-любителя, просившего у более искушенных «коллег по цеху» помощи в настройке Mirai-бота. Каким образом он раздобыл уязвимость 0-day, пока неизвестно.

Судя по данным телеметрии Qihoo 360 Netlab, которыми эксперты поделились с Bleeping Computer, сканы портов 52869 и 37215 продолжаются, причем с возросшей силой, и у Satori еще есть шанс возродиться. В Check Point тоже уверены, что слитые коды Mirai при наличии огромного количества уязвимых сетевых устройств и подключенных к Интернету IoT будут и далее провоцировать злоумышленников на создание подобных ботнетов.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона, Уязвимости