Ботнет использовался различными группировками, в том числе активистами Anonymous и, вероятно, Lizard Squad.  

Эксперты из Incapsula обнаружили массивный ботнет из скомпрометированных домашних маршрутизаторов SOHO, используемый для осуществления DDoS-атак. За последние несколько месяцев десятки клиентов компании стали жертвами тысяч инфицированных маршрутизаторов, осуществляющих атаки HTTP-флуд на уровне приложений.

По данным исследователей, скомпрометированные устройства заражены трояном Spike и Linux-ботом MrBlack, о котором впервые сообщила компания «Доктор Веб» в мае прошлого года. Поначалу эксперты Incapsula предположили, что для взлома маршрутизаторов злоумышленники использовали уязвимости в аппаратном обеспечении. Однако позже выяснилось, что устройства можно легко скомпрометировать по протоколам HTTP и SSH через порты по умолчанию. При этом интерфейс защищен учетными данными по умолчанию (admin/admin).

Как сообщили исследователи, большинство взломанных маршрутизаторов являются устройствами на базе ARM производства Ubiquiti Networks. В общей сложности в инфицированных роутерах было обнаружено 13 тыс. образцов вредоносного ПО — в среднем на каждый зараженный маршрутизатор пришлось по четыре варианта Spike. Кроме того, эксперты выявили такие угрозы как BillGates, Dofloo и Mayday.

В течение 121 дня эксперты зафиксировали вредоносный трафик, исходящий с 40 тыс. IP-адресов 1,6 тыс. провайдеров по всему миру, а также IP-адреса подконтрольных злоумышленникам C&C-серверов. Зараженные устройства расположены по всему миру, однако свыше 85% из них находятся в Бразилии и Таиланде.

По данным Incapsula, скомпрометированные маршрутизаторы использовались несколькими группировками, в том числе активистами из Anonymous. Не исключено также, что ботнет использовали хакеры из Lizard Squad.

Источник: securitylab

Share