Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Исследователи почти уверены, что январские атаки против голландских банков проводились с этого IoT-ботнета.
Исследователям из массачусетского стартапа Recorded Future, специализирующегося на сборе и анализе информации об интернет-угрозах, удалось с большой долей уверенности определить, что DDoS-атаки, зафиксированные в январе в финансовом секторе Нидерландов, проводились с ботнета IoTroop.
Бот-сеть IoTroop, она же Reaper, впервые появилась на радарах специалистов по ИБ в сентябре. Лежащий в ее основе зловред был распознан как вариант DDoS-бота Mirai, способный проникать на сетевые и IoT-устройства не только подбором логинов и паролей, но также посредством эксплуатации уязвимостей. Пытаясь определить размеры IoTroop, эксперты разошлись во мнениях, но какой бы ни была величина нового ботнета, он до сих пор ни разу не был замечен в реальных атаках.
Результаты нового исследования свидетельствуют о том, что эта долго дремавшая угроза не зря копила силы. Эксперты Recorded Future почти наверняка установили, что IoTroop был задействован как минимум в одной из январских DDoS-атак в Нидерландах. На линии огня оказались крупнейшие голландские банки — ING, ABN Amro, Rabobank. Источник вредоносного трафика на тот момент определить не удалось.
Согласно данным Recorded Future, сильнейшая из этих DDoS, на пике показавшая 30 Гбит/с, проводилась с отражением и усилением трафика через открытые DNS-резолверы. В ней приняли участие не менее 13 тыс. зараженных устройств; 80% из них были идентифицированы как роутеры производства MikroTik. В составе атакующего ботнета засветились также уязвимые серверы Apache и IIS, роутеры от Ubiquity, Cisco и ZyXEL, а также разнообразные веб-камеры, смарт-телевизоры и цифровые видеорегистраторы охранных систем.
Некоторые из этих IoT-устройств, по словам исследователей, ранее никто не рассматривал в качестве потенциальных жертв IoTroop — например, видеорегистраторы производства Dahua, телевизоры Samsung UE55D7000, смарт-устройства под управлением специализированной ОС Contiki, обеспечивающей подключение к Интернету.
Совокупно Recorded Future удалось выявить заражения в 139 странах; более половины из них пришлось на долю России, Бразилии, Украины, Китая и США. Эксперты полагают, что столь значительный перевес объясняется лишь популярностью бренда MikroTik в этих странах.
Примечательно, что на всех зараженных роутерах этого вендора был открыт TCP-порт 2000, который обычно резервируется для тестирования пропускной способности каналов. По словам авторов исследования, на новейших устройствах MikroTik этот порт открыт по умолчанию.
Исследователи также идентифицировали семь IP-адресов, с которых, по всем признакам, осуществлялось управление IoTroop. Проведенный в Recorded Future анализ подтвердил, что ботнет быстро растет, пополняя свои боевые порядки за счет использования брешей в разнообразных устройствах, подключенных к Интернету. Авторы одноименного зловреда оперативно его обновляют по мере появления открытых сведений о новых уязвимостях.
Во избежание заражения авторы исследования настоятельно рекомендуют пользователям придерживаться нехитрых правил:
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |