Уязвимость роутеров ZyXEL, о которой стало известно еще в январе 2016 года, нашла применение в IoT-ботнете Mirai. Вшитые пароли суперпользователя, о которых напомнила недавняя публикация PoC-эксплойта, вновь позволили злоумышленникам расширить армию DDoS-ботов.

В пятницу 24 ноября о новых пиках ботнет-активности сообщил ИБ-аналитик компании Qihoo 360 Netlab Ли Фэн Пей (Li Fengpei). Он обратил внимание, что в сети участились сканирующие запросы по Telnet-портам 23 и 2323 — характерная особенность Mirai, который работает через этот сетевой протокол.

В старой серии роутеров ZyXEL PK5001Z есть скрытый суперпароль, который предоставляет обычному пользователю root-доступ. Сам по себе этот пароль бесполезен, так как не позволяет залогиниться на устройстве. Однако злоумышленники определили заводские данные авторизации, с которыми многие роутеры поступали покупателям. Благодаря комбинации двух уязвимостей взломщики смогли сначала подключиться к устройствам, а затем повысить свой статус, чтобы установить зловредное ПО.

Основной удар пришелся на сеть аргентинской телекоммуникационной компании Telefonica. За 60 часов характерные для Mirai запросы поступили со 100 тысяч IP-адресов, из которых на Аргентину пришлось почти 66 тысяч. На данный момент нет информации о том, привела ли эта активность к сетевым сбоям.

Особенность Mirai в том, что простая перезагрузка устройства помогает избавиться от зловреда. Именно поэтому размер ботнета постоянно меняется, а первая задача зараженного устройства — это сканирование портов и дальнейшее распространение вредоноса.

Ранее при нападении Mirai на немецкого провайдера Deutsche Telekom зловред вызвал сбой 4-5% роутеров компании, что и позволило обнаружить атаку. В результате одного из крупнейших в Европе взломов от сети оказались отключены около 900 тысяч маршрутизаторов. Впоследствии правоохранители Соединенного королевства вместе с Европолом, Евроюстом и полицией Кипра задержали 29-летнего организатора нападения. Мужчину также связывают с атакой на 100 тысяч роутеров в Великобритании. Согласно немецкому законодательству, ему грозит от полугода до 10 лет тюрьмы. Обвинений по британским случаям взлома преступнику пока не предъявили.

Категории: DoS-атаки, Вредоносные программы, Главное, Уязвимости