Весьма курьезный, хотя и типичный для мира животных случай выявили исследователи кибербезопасности на этой неделе: создатель IoT-ботнета распространяет бэкдор для маршрутизаторов ZTE, в котором спрятан еще один бэкдор для взлома тех доверчивых wannabe-хакеров, которые его используют.
Как сообщают эксперты NewSky Security, хакер под псевдонимом Scarface входит в топ-20 наиболее значимых фигур на киберпреступной сцене в сфере взлома IoT и умных домов. Scarface часто продает свои эксплоиты так называемым скрипт-кидди (малоопытным «хакерам») и имеет хорошую репутацию. Однако обманывать детишек он отнюдь не гнушается, и часто продает известные эксплоиты под видом уязвимостей нулевого дня и скрипты, которые заражены бэкдорами.
В рассматриваемом примере, хакер Scarface продает эксплоит для известной уязвимости в маршрутизаторе ZTE ZXV10 H108L, также содержащий встроенный бэкдор для взлома того, кто его использует. Дело в том, что эксплуатация уязвимости в маршрутизаторе ZTE предполагает использование аккаунта-бэкдора для входа в систему после внедрения команды в manager_dev_ping_t.gch. Созданный Scarface эксплоит действительно предназначен для данной уязвимости и позволяет достичь цели, однако имеет некоторые отличительные особенности. Так, он атакует устройства не через стандартные порты 80/8080, а через порт 8083. Код также содержит переменную login_payload для использования бэкдора и command_payload для внедрения команд.
Ну и самое интересное, бэкдор от Scarface содержит еще одну переменную – auth_payload, содержащую бэкдор, зашифрованный с помощью base64. Этот бэкдор выполняется незаметно, отдельно от процесса эксплуатации уязвимости в маршрутизаторе.
В заражении ботнетов-конкурентов бэкдорами есть определенный смысл: таким образом, крупный игрок на хакерской сцене наподобие Scarface может повелевать всеми созданными своими клиентами ботнетами, или разрушить их для устранения конкуренции. Первый вариант представляется куда более грандиозным и устрашающим.
Читайте также другие недавние материалы от АКБ про ботнеты:
Новый загадочный ботнет собирает сотни тысяч роутеров, дергая за старые нити
Должен остаться только один: ботнеты Trinity и Fbot бьются насмерть за незащищенные Android-гаджеты
Город на краю ночи: как атака ботнетов из умных устройств может вырубить нашему миру свет
Адвокаты предупреждают американских строителей умных домов об угрозе ботнета Hide ‘N Seek
Fortinet: Искусственный интеллект собирает ботнеты в разумные рои