Зомби-сеть из Linux-устройств способна «положить» почти любую компанию в мире

Безопасность Интеграция
мобильная версия
, Текст: Сергей Попсулин

Аналитики сообщили о достижении мощности зомби-сети из Linux-устройств 150 Гбит/с, что позволяет злоумышленникам вывести из строя ИТ-инфраструктуру практически любой компании в мире. 


Мощность и активность ботнета

Зомби-сеть (ботнет) на основе Linux-трояна XOR DDoS достигла мощности свыше 150 Гбит/с, что во много раз превышает пропускную способность большинства корпоративных инфраструктур, сообщает исследовательская компания Akamai Technologies.

Ботнет активно используется. Ежедневно с его помощью злоумышленники атакуют до 20 целей, 90% которых расположены в Азии. В основном это компании из игровой индустрии, на втором месте — образовательные учреждения.

Заражение и состав зомби-сети

Ботнет состоит из Wi-Fi-роутеров, серверов и сетевых систем хранения данных с поселившимся в них трояном XOR DDoS. По словам аналитиков, все эти устройства были взломаны по протоколу SSH при помощи атаки типа «грубой силы» (brute force) — то есть путем перебора паролей для доступа к настройкам устройства.

Согласно FireEye, перебор паролей осуществляется со скоростью свыше 20 тыс. попыток в сутки в расчете на одно устройство. В отношении одного из наблюдаемых серверов аналитики зафиксировали свыше 1 млн попыток за период с ноября 2014 г. по конец января 2015 г.

После того как пароль угадан, хакеры отправляют на устройство  SSH-сообщение, длина которого в некоторых случаях достигает 6 тыс. символов, представляющих собой команды, разделенные точкой с запятой.


Ботнет из Linux-роутеров достиг огромной мощности

Происхождение трояна

Впервые троян XOR DDoS был обнаружен в сентябре 2014 г. исследовательской группой Malware Must Die. Аналитики считают, что он был разработан в Азии. По данным FireEye, в ряде случаев взлом сетевых устройств происходил с IP-адресов, принадлежащих гонконгской организации Hee Thai.

Фокусировка на Linux

По словам аналитиков Akamai, ботнет на базе XOR DDoS — пример мощной вредоносной инфраструктуры, построенной на открытом программном обеспечении. 

«Десять лет назад Linux представлял собой более защищенную альтернативу Windows, на которую тогда приходилась львиная доля атак. Поэтому компании активно переходили на Linux, для того чтобы укрепить свою инфраструктуру. Но по мере распространения Linux-систем, привлекательность их взлома для злоумышленников тоже возросла», — содержится в отчете Akamai.

Аналитики полагают, что тенденция продолжится. И злоумышленники продолжат активно использовать и развивать троян XOR DDoS. 

40 тыс. зараженных роутеров

В мае 2015 г. исследовательская организация Incapsula сообщила об обнаружении свыше 40 тыс. домашних и офисных роутеров, зараженных троянами MrBlack, Dofloo и Mayday. Все три трояна предназначены для устройств под управлением операционных систем с ядром Linux и разработаны злоумышленниками для проведения DDoS-атак.