Спецпроекты

Живучий Linux-ботнет научился атаковать роутеры Huawei, Realtek, Asus

Безопасность Техника

Известный ботнет Gafgyt позаимствовал функциональность, связанную с DDoS-атаками, из исходного кода Mirai, став еще опаснее, чем раньше.

С 2014 года с вами

Эксперты компании Uptycs опубликовали исследование Linux-ботнета для интернета вещей Gafgyt (он же Bashlite), отметив, что он начал использовать некоторые фрагменты кода печально знаменитого ботнета Mirai.

Gafgyt впервые был обнаружен в 2014 г. Он в первую очередь атакует устройства интернета вещей производства Huawei, Realtek, Asus и других производителей, которые затем используются для проведения DDoS-атак. Ботнет также использует широко известные уязвимости, такие как CVE-2017-17215, позволяющую запускать произвольные команды на роутерах Huawei, или CVE-2018-10561, позволяющую обходить авторизацию на роутерах DasanGPON, для подгрузки дополнительного вредоносного содержимого.

Теперь в нем появились несколько модулей, импортированных прямиком из исходного кода Mirai (тот был опубликован ещё в 2016 г.). Они дают Gafgyt функции для проведения сразу нескольких типов DDoS-атак, в частности, HTTP flooding, UDP flooding, несколько вариантов TCP flooding. Все они позволяют перегружать целевой сервер «мусорными» запросами через соответствующие протоколы. Добавился также модуль STD, который шлет на определенный IP-адрес большое количество последовательностей символов из предустановленного набора.

Старые уязвимости не подводят

Кроме того, ботнет перенял у Mirai новые способы компрометации устройств интернета вещей: в частности, брутфорс-атаку через Telnet и дополнительные эксплойты для существующих уязвимостей Huawei, Realtek и GPON. Эксплойты к уже упомянутой уязвимости в роутерах Huawei и багу в роутерах Realtek (CVE-2014-8361) используются для запуска произвольного кода на этих устройствах и закачки дополнительного вредоносного содержимого.

haker600.jpg
Живучий ботнет позаимствовал DDoS-функции другого ботнета

В 2016 г. исходный код Mirai был слит в Сеть. Это привело к росту числа его разновидностей, и без того немалого, и, как видим, появлению ботнетов, копирующих его наиболее эффективные функции.

«Обращает на себя внимание то, какие старые уязвимости этот ботнет эксплуатирует, им может быть до семи лет, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Это означает, что устройства, содержащие эти уязвимости, до сих пор очень широко распространены и активно используются. В целом устройства интернета вещей относятся к числу наиболее игнорируемых в плане кибербезопасности, в то время как (и вследствие чего) новые ботнеты цветут и множатся».