Операторы Reaper работают над усовершенствованием ботнета

Операторы Reaper работают над усовершенствованием ботнета

На подпольных форумах хакеры уже обмениваются скриптами, позволяющими сканировать интернет на предмет уязвимых IoT-устройств.

В минувшие выходные SecurityLab писал о появлении нового масштабного ботнета, получившего название IoT_reaper (Reaper). По оценкам исследователей, в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы. Согласно данным исследователей безопасности из компании NewSky Security, на подпольных форумах хакеры уже обмениваются скриптами, позволяющими сканировать интернет на предмет уязвимых IoT-устройств с установленными по умолчанию или ненадежными учетными данными.

На сегодняшний день операторы ботнета не провели ни единой DDoS-атаки. Как полагает исследователь из NewSky Secutity Анкит Анубхав (Ankit Anubhav), повышенная активность хакеров может свидетельствовать о переходе от уровня концепции к непосредственной реализации атаки.

В ходе расследования активности, связанной с IoT_reaper, на одном из форумов исследователи обнаружили переписку хакеров, в которой они продемонстрировали два скрипта, связанных с эксплоитом для уязвимости CVE-2017-8225 в популярных беспроводных камерах WIFICAM.

Первый скрипт использует поисковик Shodan для сбора информации об IP-адресах всех устройств, подверженых CVE-2017–8225. Второй скрипт загружает данные об устройствах с ненадежными паролями или установленными по умолчанию учетными данными. Таким образом даже скрипт-кидди могут использовать данный эксплоит для поиска и последующего взлома уязвимых устройств, пояснил Анубхав.

Исследователи также отметили, что хотя изначально тема на форуме была посвящена хищению учетных данных на скомпрометированных IoT-устройствах, впоследствии хакеры стали обсуждать разработку полноценного ботнета. В какой-то момент автор эксплоита для CVE-2017–8225 заявил, что смог бы сделать «полноценный ботнет для любых целей» при наличии у него премиум-аккаунта Shodan. Вскоре нашелся желающий поделиться с хакером своей учетной записью на поисковом сервисе, после чего новых сообщений не поступало.

При наличии премиум-доступа к Shodan злоумышленники могут в точности определить количество устройств, подверженых CVE-2017-8225. По оценкам исследователей, их количество на данный момент составляет 117 055. Данные устройства потенциально могут стать частью IoT_reaper в ближайшем будущем, говорит Анубхав.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться