Мощность и активность ботнета
Зомби-сеть (ботнет) на основе Linux-трояна XOR DDoS достигла мощности свыше 150 Гбит/с, что во много раз превышает пропускную способность большинства корпоративных инфраструктур, сообщает исследовательская компания Akamai Technologies.
Ботнет активно используется. Ежедневно с его помощью злоумышленники атакуют до 20 целей, 90% которых расположены в Азии. В основном это компании из игровой индустрии, на втором месте — образовательные учреждения.
Заражение и состав зомби-сети
Ботнет состоит из Wi-Fi-роутеров, серверов и сетевых систем хранения данных с поселившимся в них трояном XOR DDoS. По словам аналитиков, все эти устройства были взломаны по протоколу SSH при помощи атаки типа «грубой силы» (brute force) — то есть путем перебора паролей для доступа к настройкам устройства.
Согласно FireEye, перебор паролей осуществляется со скоростью свыше 20 тыс. попыток в сутки в расчете на одно устройство. В отношении одного из наблюдаемых серверов аналитики зафиксировали свыше 1 млн попыток за период с ноября 2014 г. по конец января 2015 г.
После того как пароль угадан, хакеры отправляют на устройство SSH-сообщение, длина которого в некоторых случаях достигает 6 тыс. символов, представляющих собой команды, разделенные точкой с запятой.
Ботнет из Linux-роутеров достиг огромной мощности
Происхождение трояна
Впервые троян XOR DDoS был обнаружен в сентябре 2014 г. исследовательской группой Malware Must Die. Аналитики считают, что он был разработан в Азии. По данным FireEye, в ряде случаев взлом сетевых устройств происходил с IP-адресов, принадлежащих гонконгской организации Hee Thai.
Фокусировка на Linux
По словам аналитиков Akamai, ботнет на базе XOR DDoS — пример мощной вредоносной инфраструктуры, построенной на открытом программном обеспечении.
«Десять лет назад Linux представлял собой более защищенную альтернативу Windows, на которую тогда приходилась львиная доля атак. Поэтому компании активно переходили на Linux, для того чтобы укрепить свою инфраструктуру. Но по мере распространения Linux-систем, привлекательность их взлома для злоумышленников тоже возросла», — содержится в отчете Akamai.
Аналитики полагают, что тенденция продолжится. И злоумышленники продолжат активно использовать и развивать троян XOR DDoS.
40 тыс. зараженных роутеров
В мае 2015 г. исследовательская организация Incapsula сообщила об обнаружении свыше 40 тыс. домашних и офисных роутеров, зараженных троянами MrBlack, Dofloo и Mayday. Все три трояна предназначены для устройств под управлением операционных систем с ядром Linux и разработаны злоумышленниками для проведения DDoS-атак.
Источник
Добрый вирус: Linux.Wifatch защищает роутеры от других угроз
Обнаруженный Symantec вирус для роутеров заражает устройства и защищает их от вредоносного программного обеспечения, он напоминает пользователю о необходимости обновить ПО, сменить пароли и закрывает уязвимости от других вирусов.
Взломать роутеры проще всего — их редко обновляют и почти никогда не сканируют на вирусы. Новый вирус пытается сделать этот тип устройств безопаснее, рассказывает Symantec в отчёте. Linux.Wifatch похож на обычный вирус: он заражает устройство, скрывает свои операции и координирует действия по p2p-сети. Но вместо того, чтобы проводить DDoS атаки или искать важные данные, Wifatch пытается обезопасить устройство от других вирусов. Программа обновляет собственную базу с помощью p2p и удаляет вредоносное программное обеспечение, закрывает «дыры» для других вирусов.
Symantec не знает, откуда появился этот вирус и зачем он был создан, но он кажется отличным от обычных вирусов. Впервые исследователи обнаружили его в 2014 году, тогда он не пытался себя скрывать и имел доброжелательные сообщения в коде. Одно из них срабатывало, когда пользователь пытался получить доступ к функции Telnet, и напоминало пользователям обновлять прошивку устройства. Другое сообщение в коде предназначалось АНБ и ФБР: «Всем агентам АНБ и ФБР, читающим это: помните, что защита Конституции США против врагов, внешних и внутренних, заставляет вас последовать примеру Сноудена». Symantec несколько месяцев следила за вирусом, но не обнаружила негативной направленности его работы.
По оценке Symantec, вирусом заражены десятки тысяч устройств, в основном в Бразилии, Китае и Мексике. Чтобы устранить вирус достаточно перезагрузить роутер, но он вскоре снова может вернуться. «Symantec будет пристально следить за Linux.Wifatch и его таинственным создателем. Мы рекомендуем пользователям следить за обновлениями программного обеспечения и прошивки роутера».
Автор:
HELL / 3 Окт 2015 в 11:40 / Просмотров: 391