Ботнет Gwmndy превращает маршрутизаторы Fiberhome в узлы для SSH туннелирования

Специалисты из 360 Netlab обнаружили новый, весьма необычный ботнет из маршрутизаторов Fiberhome. Ботнет растет довольно медленно – за один день в него добавляется всего 200 устройств.

«В отличие от типичных ботнетов, старающихся заразить как можно больше жертв, этот прекращает поиски новых ботов, набрав 200 за день. Похоже, его создателя устраивает такое количество, вероятно, предоставляющее ему достаточно прокси для чего бы то ни было», – сообщили исследователи.

Вторая отличительная особенность ботнета – его предназначение. В отличие от большинства ботнетов, он не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, непонятно.

Для заражения маршрутизаторов злоумышленники используют ранее не известное ПО Gwmndy. Инфицирование происходит с помощью исполняемого файла в формате ELF, который попадает на устройство одним из множества стандартных способов.

«Мы не увидели, как Gwmndy распространяется, но знаем, что в некоторых маршрутизаторах Fiberhome используют очень ненадежные пароли и присутствуют уязвимости», – пояснили исследователи.

Попав на устройство, вредонос устанавливает бэкдор, а также создает SSH туннель для динамической переадресации портов и локальный сервис SOCKS5. Как отмечают исследователи, вредоносное ПО, выступающее в качестве прокси, – случай весьма редкий. Одни вредоносные программы используют прокси или TOR для подключения к своим C&C-серверам, другие и вовсе передают данные в открытом виде без прокси. Однако вредонос, который является прокси сам по себе и может использоваться другими программами, загружаемыми вместе с ним, заслуживает пристального внимания, уверены эксперты.