Интересно, по образу и подобию чего бы строились современные ботнеты, не создай один обиженный жизнью любитель Minecraft суперсеть Mirai. Может быть, картина киберугрозы сегодня была бы совсем иной. Но мы имеем то, что имеем, и поэтому практически каждый новый ботнет – это «ребенок» Mirai.
Исследователь из Akamai Technologies обнаружил еще одного Mirai-подобного зловреда, который распространяется с помощью сразу 26 эксплойтов разной давности. Ботнет этот весьма настойчивый, сообщается, что его операторы пытаются использовать уязвимости не только в прошивках роутеров, NAS-устройств и IoT, но также в сетевом ПО и веб-приложениях, используемых в корпоративных средах.
Первыми новую угрозу обнаружили аналитики из Palo Alto Networks — на тот момент в арсенал ботоводов входило 18 эксплойтов. Чуть позже эксперт Akamai нашел более свежий вариант и дополнительные эксплойты, количество которых выросло к этому моменту уже до 26. Текущая версия малвари, окрещенной Echobot, атакует NAS, маршрутизаторы, NVR, IP-камеры, IP-телефоны и так далее.
Как и его многочисленные собратья, Echobot снабжен списком дефолтных логинов и паролей для самораспространения и способен проводить DDoS-атаки по команде операторов. Все 26 уязвимостей, используемых для доставки Echobot, позволяют удаленно выполнить на устройстве вредоносную команду либо произвольный код.
Эксперты АКБ хотели бы подчеркнуть, что большинство брешей хорошо известны; некоторые существуют уже 10 лет и так и не получили заплатку. Большинство уязвимых устройств давно сняты с поддержки, но они еще кое-где функционируют, и злоумышленники этим пользуются. Некоторые уязвимости даже не имели CVE-идентификаторов, и исследователю из Akamai пришлось обратиться в MITRE, чтобы те исправили упущение.
Кроме роутеров, сетевых накопителей и смарт-устройств, в списке уязвимостей, приведенном в блог-записи Akamai, упомянуты решения корпоративного класса, такие как:
платформа VMware NSX SD-WAN, предназначенная для развертывания и оптимизации работы глобальных сетей (CVE-2018-6961);
система U.motion разработки Schneider Electric, используемая для автоматизации управления жилыми и производственными помещениями (CVE-2018-7841);
программно-аппаратные комплексы KACE для управления IT-активами предприятия, вендор Quest Software (CVE-2018-11138);
сервер приложений Oracle WebLogic (CVE-2019-2725, патч вышел в конце апреля).
Кто стоит за ботнетом, пока не известно, метаданные по использованию серверов и доменов указывают на совершенно разные страны и никуда не ведут.
Читайте также на АКБ другие материалы про Mirai и Mirai-образные ботнеты:
Mirai отрастил еще 13 голов для атак на умные и не очень устройства
Воскресший Mirai отрастил еще больше щупалец и готов к захвату IoT-мира
Король вернулся: Mirai снова жив и снаряжен сразу 27 эксплоитами
И породили Xor.DDoS и Mirai страшного сына-гиганта — и звали его ChaCha-Lua!
Ботнет Mirai живет, эволюционирует и трансмигрирует через границы платформ
