Японский провайдер кибербезопасности Trend Micro заявил, что с конца 2024 года он наблюдает волну масштабных DDoS-атак, в которой используются «армии» скомпрометированных IoT-устройств.
По данным исследователей, новый пока безымянный ботнет комбинирует в себе технические наработки известных предшественников Mirai и Bashlite. Он практически полностью состоит из «умных устройств» с выходом в интернет — в основном это беспроводные маршрутизаторы и IP-камеры. IoT-устройства в массе своей традиционно слабо защищены, так как владельцы нередко не меняют заводские логины/пароли (или даже не подозревают об их наличии) и не обновляют прошивку, что приводит к накоплению программных уязвимостей, используемых хакерами.
Целями атак стали, в том числе, ряд крупных японских корпораций и банков (что и заставило, судя по всему, Trend Micro заинтересоваться проблемой) — но в целом география целей ботнета очень широка и покрывает значительную часть Северной Америки и Европы.
Можно предположить, что управление ботнетом происходит с территории Японии, потому что ИБ-специалисты обнаружили значительно отклоняющиеся от статистики отличия между конфигурацией атак на международные цели и цели в Японии — последние осуществляются с учетом локальной специфики, чтобы нанести наибольший вред, и учитывают «обратную связь».
Как происходит заражение
Первоначальное инфицирование IoT-устройства происходит чаще всего по двум каналам: брутфорс слабых паролей (или перебор заводских по списку) или эксплуатация уязвимости удаленного выполнения кода (RCE).
Затем осуществляется довольно комплексный процесс:
На зараженном устройстве выполняется скрипт загрузки исполняемого файла-загрузчика с сервера распространения;
Загрузчик, в свою очередь, загружает уже сам вредонос с сервера распространения через HTTP;
Вредонос записывается в образ памяти и выполняется, при этом исполняемый файл не остается на зараженном хосте;
В HTTP-запросе на доступ устанавливается определенный заголовок User-Agent, предотвращающий загрузку исполняемой полезной нагрузки через обычный веб-доступ.
Вредонос подключается к серверу C&C и ожидает команды.
Попутно вредонос деактивирует watchdog timer — программу, которая периодически проверяет нормальность функционирования системы и перезагружает устройство, если обнаруживает аномальные нагрузки (как при использовании его для DDoS-атаки).
Trend Micro показали, как выглядит код для загрузки исполняемого файла зловреда:
Исследовав затем код самого вредоноса, Trend Micro обнаружили, что новый ботнет удивительно многофункционален — помимо запуска разнообразных типов DDoS-атак он может заставить устройство служить, например, в качестве подпольного прокси-сервиса.
Полный список команд, которые владельцы ботнета могут отправить на зараженные IoT-устройства:
Команда |
Что делает |
socket |
DDoS-атака с использованием массовых TCP-соединений |
handshake |
DDoS-атака с установкой массовых TCP-соединений и отправкой случайных данных |
stomp |
DDoS-атака с использованием простого текстоориентированного протокола обмена сообщениями (после TCP-соединения отправляет массивную случайную полезную нагрузку) |
syn |
TCP SYN Flood атака |
ack |
TCP ACK Flood атака |
udph |
UDP Flood атака |
tonudp |
UDP Flood атака на конкретно заданную во вредоносном ПО цель |
gre |
DDoS-атака с использованием протокола General Router Encapsulation |
update |
Обновление исполняемого вредоносного кода |
exec |
Выполнение произвольной команды на зараженном устройстве |
kill |
Принудительное завершение процесса исполняемого вредоносного кода |
socks |
Подключение к указанному IP-адресу и превращение зараженного устройства в доступный прокси-сервер Socks (используя открытый исходный код обратного прокси-сервера Socks) |
udpfwd |
Пересылка UDP-сообщений указанного порта в указанное место назначения |
Самоскрытие и защита от других ботнетов
Вредонос также изменяет правила для iptables в системах Linux, преследуя этим сразу несколько целей: задержку обнаружения инфицирования, манипулирование пакетами, используемыми в DDoS-атаках и защиту от других ботнетов.
Правила iptables после изменения зловредом:
Разрешить запросы на TCP-подключение со стороны LAN.
Запретить запросы на TCP-подключение со стороны WAN.
Разрешить прием пакетов, связанных с установленными TCP-подключениями.
Разрешить связь с сервером C&C.
По мнению экспертов Trend Micro, второй пункт, запрет запросов на TCP-подключение со стороны WAN, должен обезопасить захваченные IoT-устройства от вредоносов, работающих на другие ботнеты, которые эксплуатируют те же уязвимости.
Разрешение TCP-подключений со стороны LAN, соответственно, позволяет администратору получить доступ к консоли управления устройством — что должно затруднить обнаружение отклонений в его работе.
Развитие ботнета
Большинство устройств, используемых в ботнете — беспроводные маршрутизаторы, чаще всего компаний TP-Link и Zyxel. Наибольшее число взломанных устройств (почти 60%) физически находятся в Индии.
Trend Micro сообщают об изменениях в работе ботнета с 11 января по сравнению с режимом, в котором он функционировал с 27 декабря 2024 года по 4 января 2025 года. Неэффективные комбинации типов DDoS-атак против японских целей были отозваны злоумышленниками и заменены на новые.
По мнению экспертов, таким образом владельцы ботнета реагируют на принятые контрмеры по защите от DDoS-атак, стремясь сделать их более разрушительными.
balamutang
А закрашены сильнее Россия и США. Непонятно что иллюстрирует карта
vesowoma
Краткое ознакомление с оригиналом статьи привело в выводу, что Индия - лидирует в количестве девайсов-ботнетов, а карта показывает распределение атакуемых IP. Оригинальная статья содержит диаграммы с комментариями, которых нет в переводе. Но в переводе о том что будет вторая часть не написано.