Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Купили камеру для безопасности, а она «дудосит» Пентагон. Ирония эпохи интернета вещей

leer en español

Masjesu Trellix NSFOCUS Telegram IoT DDoS XorBot
Купили камеру для безопасности, а она «дудосит» Пентагон. Ирония эпохи интернета вещей
Masjesu Trellix NSFOCUS Telegram IoT DDoS XorBot

Ваш умный дом стал послушным солдатом в чужих руках.

image

Ботнеты для DDoS-атак давно перестали быть редкостью, но Masjesu выбрал другой путь. Вредонос не пытается заразить всё подряд. Он действует тихо, не спеша, без лишней суеты, и уже несколько лет продаётся через Telegram как услуга для заказных атак. Такая осторожность, как считают специалисты Trellix, помогает операторам дольше сохранять инфраструктуру и наращивать её почти незаметно.

Trellix описывает Masjesu как ботнет, нацеленный на широкий круг IoT-устройств, включая роутеры и сетевые шлюзы на разных архитектурах. Вредонос впервые заметили ещё в 2023 году. На теневых площадках и в Telegram-сообществах проект продвигали как сервис для организации DDoS-атак. Под другим названием, XorBot, сеть уже фигурировала в отчётах NSFOCUS. Китайская компания тогда связала активность с оператором под псевдонимом synmaestro.

По данным Trellix, Masjesu делает ставку не на массовое заражение, а на устойчивость и скрытность. Вредонос намеренно обходит часть заблокированных IP-диапазонов, включая адреса, связанные с Министерством обороны США. Такой подход снижает риск повышенного внимания со стороны правоохранителей и помогает ботнету дольше оставаться в строю.

За последний год Masjesu заметно расширил арсенал. Новые версии получили как минимум 12 способов эксплуатации уязвимостей с внедрением команд и удалённым выполнением кода. Под удар попадают роутеры, камеры, DVR и NVR от D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link и Vacron. Позже в список добавились и роутеры на базе Realtek. Для поиска подходящих IoT-устройств ботнет сканирует порт 52869, который связан с daemon miniigd из SDK Realtek. Ранее похожую схему уже использовали JenX и Satori.

После заражения Masjesu открывает TCP-порт 55988 для прямого подключения оператора. Если шаг не удаётся, цепочка прерывается. При успешном запуске вредонос закрепляется в системе, игнорирует сигналы завершения, останавливает процессы вроде wget и curl, вероятно, мешая конкурирующим ботнетам, а затем связывается с внешним сервером и получает команды для атаки.

Авторы отчёта добавляют, что Masjesu умеет распространяться самостоятельно, перебирая случайные IP-адреса и проверяя открытые порты. Основной поток атакующего трафика идёт из Вьетнама, Украины, Ирана, Бразилии, Кении и Индии, причём на Вьетнам приходится почти половина наблюдаемой активности. В рекламных сообщениях операторы делают упор на объёмные DDoS-атаки против CDN, игровых серверов и корпоративных систем.

По оценке Trellix, Masjesu продолжает расти и заражать устройства разных производителей, но при этом старается не трогать чувствительные цели, чтобы не спровоцировать жёсткую реакцию. Такая тактика делает ботнет не самым шумным, зато одним из самых живучих игроков на рынке заказных DDoS-атак.