Непропатченные маршрутизаторы играют роль хоста в огромном новом ботнете

Следующий ботнет, который дает сбой в Интернете, начинает постепенно просыпаться. С конца декабря ботнет, известный как Satori, заражает новые конечные точки и, как правило, проявляет признаки ожидаемой катастрофы. Как подготовиться к следующей крупномасштабной DDoS-атаке?

Пробуждается спящий ботнет

В последний раз мы видели ботнет Satori в 2016 году - тогда он еще назывался Mirai. Мы знаем, что два года - это большой срок для информационной безопасности, но инцидент с ботнетом Mirai трудно забыть. Используя миллионы зараженных устройств Интернета вещей, таких как маршрутизаторы, камеры видеонаблюдения и интеллектуальные термостаты, ботнет Mirai смог вывести из строя оптоволоконную магистраль почти на всем восточном побережье США. Атака отключила Интернет на несколько часов.

Сатори - это не Мираи, но это близкий родственник. В отличие от Mirai, которому нужно было загрузить отдельный компонент, прежде чем он стал активным, Satori распространяется как червь. Зараженные хосты сканируют открытые порты на маршрутизаторах и других устройствах Интернета вещей в поисках конкретных уязвимостей. На сегодняшний день выявлено три типа уязвимых устройств:

• Домашний шлюз Huawei маршрутизаторы могут содержать уязвимую ошибку удаленного выполнения кода. Мало что известно об уязвимости, и в настоящее время нет исправлений.
• Realtek маршрутизаторы содержат аналогичную уязвимость, но она исправлена ​​во многих системах, что снижает вероятность успеха этого эксплойта.
• DASAN Networks Малоизвестный производитель маршрутизаторов в Южной Корее, эксплуатирует около 40 000 маршрутизаторов. Все эти маршрутизаторы кажутся уязвимыми для Satori, но производитель не ответил исследователям безопасности и, похоже, не желает выпускать патч.

Излишне говорить, что любой, кто в настоящее время использует эти устройства, должен принять меры для их немедленной изоляции, исправления или замены, если это необходимо.

Помимо заражения роутеров, оператор сети Satori нашел выгодный побочный продукт. Вредоносная программа Satori недавно была нацелена на программное обеспечение для майнинга криптовалют и заразила его. Используя уязвимости в программном обеспечении, известном как Claymore, вредоносная программа смогла перезаписать адреса криптовалютных кошельков адресами, принадлежащими оператору вредоносного ПО. Следовательно, вся валюта, добываемая соответствующей машиной, будет перенаправлена ​​злоумышленнику. Ботнет Satori уже собрал с помощью этого метода криптовалюту на сумму более 2000 долларов США, известную как Ethereum.

Многоцелевой ботнет?

Использование этого конкретного ботнета для майнинга криптовалюты предполагает, что его оператор имеет в виду не только простые DDoS-атаки. В то время как предыдущие операторы бот-сетей были счастливы использовать свои сети для вымогательства, другие атаки в конце 2017 и начале 2018 года предполагают, что эта бизнес-модель может начать меняться.

Хакеры запустили ряд схем для кражи или паразитического майнинга различных криптовалют. Несколько групп начали использовать вредоносное рекламное ПО для заражения веб-сайтов и взлома процессоров посетителей для майнинга биткойнов. Другая группа смогла заразить публичное облако Tesla Motors, взяв незащищенную консоль Kubernetes.

Хотя индивидуальная вычислительная мощность одного маршрутизатора незначительна, сеть из десятков тысяч ботов может генерировать большое количество криптовалюты в совокупности. Хотя эти атаки могут быть относительно безвредными - в конце концов, они не связаны с кражей или шифрованием данных, - вероятность массовых неудобств неоспорима.

Как следить за криптоджекингом и DDoS-атаками

Если вы подозреваете, что злоумышленник захватил одно из ваших IoT-устройств, или если вы думаете, что кто-то нацелил против вас DDoS-атаку, вам нужно знать об этом сразу. Эти типы изощренных атак продолжают расти, и теперь уже нельзя оставлять слепые пятна в вашей сети и инфраструктуре приложений. AppNeta может помочь, открыв окно в вашу сеть. Вы сможете увидеть, где происходит замедление работы сети и приложений, и быстро сделать выводы о том, что происходит.

DDoS-атаки и криптоджекинг приведут к заметному замедлению работы сети и приложений, что будет иметь каскадный эффект с точки зрения производительности и скорости реагирования клиентов. Если вы хотите решить эти проблемы до того, как они возникнут, свяжитесь с AppNeta, чтобы получить бесплатную демонстрацию сегодня.