Идеальный DDoS-вербовщик. Новый ботнет C0XMO пачками подчиняет роутеры и видеорегистраторы
Авторы сделали ставку не на один тип устройств, а на целую россыпь лёгких целей. И не прогадали.
У домашних роутеров давно появилась роль, о которой владельцы часто не думают: уязвимое устройство на периметре сети может стать частью масштабной атаки. Специалисты Fortinet обнаружили новый вариант ботнета Gafgyt под названием C0XMO, который заражает устройства с прошивкой DD-WRT через уязвимость CVE-2021-27137 (оценка пока не присвоена). Ошибка связана с переполнением буфера и позволяет выполнить произвольный код без входа в систему.
C0XMO уже заметили при атаке на японскую технологическую компанию, хотя исходный IP-адрес указывал на устройство в Германии. Вредонос рассчитан не только на роутеры DD-WRT: найденные образцы поддерживают ARM, MIPS, PowerPC, SuperH, x86, x86_64 и другие архитектуры. В набор также входят средства для атак на видеорегистраторы, роутеры, платформы видеоуправления и устройства на базе Android.
Главная особенность C0XMO — модульная схема. Операторы могут отдельно менять способы заражения, добавлять или убирать целевые архитектуры и расширять возможности перемещения внутри сети, не переписывая основной вредоносный компонент.
После заражения ботнет загружает Python-скрипт для поиска новых целей. Скрипт ставит дополнительные пакеты, сканирует открытые в интернете устройства на популярных портах, включая SSH, Telnet, HTTP и HTTPS, затем пытается подобрать слабые учётные данные. Если доступ получен, вредонос определяет архитектуру процессора и загружает подходящий исполняемый файл C0XMO.
На захваченном устройстве C0XMO прячется во временных каталогах, создаёт задания cron для перезапуска каждые 15 минут и меняет стартовые shell-скрипты, чтобы запускаться автоматически. Затем вредонос ищет конкурирующие ботнеты, инструменты для тестирования безопасности и сетевые службы, которые могут мешать работе, после чего удаляет их файлы и механизмы автозапуска.
После закрепления C0XMO подключается к жёстко заданному управляющему серверу и ждёт команд. Ботнет поддерживает 19 методов DDoS-атак, включая UDP-, TCP-, SYN- и ICMP-флуды, усиление через NTP и Memcached, а также атаки, нацеленные на отдельные сетевые сервисы.
Для снижения риска Fortinet рекомендует обновлять устройства, использовать уникальные пароли администратора и отключать удалённый доступ, когда удалённое управление не требуется.