Спецпроекты

Два ботнета целенаправленно атакуют сети под Linux

Интеграция ИТ в госсекторе Техника

Эксперты Zscaler и Check Point описали два многофункциональных ботнета, которые атакуют различные системы под Linux. Один из них обладает функциями сетевого червя.

Куда завозят мечты

Исследователи компаний Zscaler и Check Point сообщили об активизации двух опасных ботнетов, целенаправленно атакующих системы под управлением операционной системы Linux.

Первый из этих ботнетов под названием DreamBus («автобус мечты») формируется одноименным вредоносом, который проявляет характеристики сетевого «червя»: он способен к самостоятельному распространению через интернет и по узлам внутренних корпоративных сетей, используя обширный набор методик. Эксперты Zscaler отмечают, что вредонос DreamBus имеет модульную структуру, которая позволяет быстро переориентировать его на выполнение разных задач. Cейчас он в большей части случаев устанавливает криминальные криптомайнеры для генерации Monero, но с его помощью в любой момент можно организовать DDoS-атаки или заставить начать рассаживать шифровальщики по уже зараженным машинам.

В целом DreamBus атакует преимущественно системы, обладающие значительными вычислительными мощностями. Самым неприятным аспектом, впрочем является тот факт, что этот вредонос может распространяться по системам, которые лишены открытого доступа в сеть: для этого он сканирует непубличное адресное пространство RFC 1918.

Среди множества модулей DreamBus — инструменты, эксплуатирующие слабые пароли и режим «полного доверия» между различными узлами сети, а также средства, обеспечивающие запуск неавторизованного кода в таких приложениях как SSH, облачные приложения и базы данных и административные инструменты. Также DreamBus использует эксплойты для уязвимостей в ApacheSpark, SaltStack, HadoopYARN и Hashi CorpConsul.

haker600.jpg
Два ботнета рассаживают криптомайнеры по Linux-системам и готовят DDoS-атаки

Основным компонентом DreamBus является двоичный файл ELF, который распространяется через SSH (либо может быть скачан через HTTP). Контролирующая инфраструктура ботнета спрятана в сети TOR и в анонимных файловых хостингах. По данным телеметрии Zscaler, операторы ботнета физически базируются либо в России, либо в какой-либо из восточноевропейских стран. Количество атакованных систем достигает нескольких десятков тысяч.

Но, пожалуйста, не надо невменяемость терять

Второй ботнет FreakOut (от англ. «FreakOut» — валять дурака, пугаться, паниковать, терять вменяемость) атакует уязвимые версии операционной системы TerraMaster (предназначенной для сетевых накопителей), ZendFramework (популярный набор для создания веб-приложений и сервисов на PHP) или LiferayPortal (открытое ПО для создания корпоративных порталов, написанное на Java). Все это ПО основано на Linux

Гибридная рабочая среда вызывает привыкание
Бизнес

Скомпрометированные машины, по данным экспертов CheckPoint, собираются в ботнет, который может использоваться для DDoS-атак или добычи криптовалют.

Эксперты насчитали как минимум 185 скомпрометированных серверов, уже являющихся частью ботнета; большая их часть располагается в США, некоторое (значительно меньшее количество) в Германии и Нидерландах.

Всего же, по данным аналитиков CheckPoint, в Сети насчитывается не менее 9 тыс. серверов, содержащих эксплуатируемые FreakOut уязвимости CVE-2020-28188 (инъекция команды в TerraMasterOS), CVE-2020-7961 (небезопасная десериализация в LiferayPortal), CVE-2021-3007 (запуск произвольного кода в ZendFramework).

«Обращает на себя внимание тот факт, что все эти уязвимости - очень свежие, одна из них датирована едва начавшимся 2021 годом, отмечает Алексей Водясов, технический директор компании SECConsultServices). Учитывая, что вредоносы, по данным анализировавших их экспертов, написаны очень качественно, в обоих случаях разработками занимались профессиональные, хорошо подготовленные и мотивированные специалисты. И качество, и многофункциональность указывают на то, что эти ботнеты готовятся для последующего предложения по RaaS-модели», то есть для сдачи в аренду».