Новый конкурент IoT-ботнета Mirai включает порядка 2 млн устройств

image

Теги: Интернетвещей, ботнет, Reaper

С середины сентября ботнет IoT_reaper вырос до гигантских масштабов.

Ряды мощных ботнетов, состоящих из устройств сферы «Интернета вещей» (Internet of Things, IoT), продолжают пополняться. Недавно в Сети был замечен новый конкурент ботнетов Mirai и Necurs, получивший название IoT_reaper, с середины сентября выросший до гигантских масштабов. По оценкам исследователей из компаний Qihoo 360 Netlab и Check Point , в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.

По словам исследователей, код вредоносного ПО, используемого для создания ботнета, включает фрагменты кода Mirai, но при этом содержит ряд новых функций, отличающих Reaper от конкурентов. Главное его отличие заключается в методе распространения. Если Mirai ищет открытые Telnet-порты и пытается скомпрометировать устройство, используя перечень распространенных дефолтных или ненадежных паролей, то Reaper в основном применяет эксплоиты для захвата контроля над уязвимыми устройствами и добавления их к C&C-инфраструктуре.

В настоящее время Reaper использует эксплоиты для уязвимостей в устройствах D-Link ( модели DIR-600 и DIR-300), маршрутизаторах и системах видеонаблюдения Netgear ( ReadyNAS Surveillance , DGN1000 , DGN2200), маршрутизаторах Linksys (модели E1500/E2500), IP-камерах GoAhead , JAWS , Vacron и AVTECH . Reaper также атакует маршрутизаторы MicroTik и TP-Link, сетевые накопители Synology NAS и серверы Linux.

На данный момент организаторы ботнета работают над его расширением, добавляя новые эксплоиты и устройства. По словам экспертов Qihoo 360 Netlab, списки ожидания C&C-серверов ботнета включают более 2 млн инфицированных гаджетов.

Специалисты Qihoo 360 Netlab и Check Point отмечают, что пока ботнет не осуществил ни одной DDoS-атаки. По их словам, вредоносное ПО включает среду для исполнения скриптов на языке Lua, что позволяет операторам добавлять  модули для различных задач, например, DDoS-атак, перенаправления трафика и пр. Кроме того, Reaper включает 100 открытых DNS-резолверов. Данная функциональность позволит ботнету с легкостью осуществлять атаки типа DNS-амплификация.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus