источник:Обнаружен массивный DDoS-ботнет на роутерах, сообщает «Лаборатория Касперского». За последние несколько месяцев злоумышленники скомпрометировали десятки тысяч домашних и офисных маршрутизаторов, чтобы построить из них ботнет для проведения DDoS-кампании.
Первые DDoS с участием данного ботнета были обнаружены еще в конце прошлого года, 29 декабря, но за последний месяц после короткого затишья количество используемых в атаках IP-адресов удвоилось. Сотрудники ИБ-компании Incapsula наблюдают эти атаки со времени первых жалоб, поданных клиентами, однако апрельский всплеск DDoS-активности вынудил их провести более глубокий анализ.
Исследователи обнаружили активный ботнет, состоящий в основном из маршрутизаторов, производимых калифорнийской компанией Ubiquiti Networks. Вначале эксперты грешили на некую общую уязвимость в прошивке, однако впоследствии выяснилось, что ко всем маршрутизаторам можно получить удаленный доступ по HTTP и SSH через дефолтные порты и с учетными данными, по умолчанию заданными производителем. Комбинация этих факторов делает сетевые устройства уязвимыми к прослушке, MITM-атакам, перехвату куки, а также позволяет атакующим получить доступ к другим устройствам в локальной сети.
Новый ботнет активно сканирует Сеть на наличие некорректно сконфигурированных маршрутизаторов и исполняет shell-скрипты, пытаясь получить доступ через SSH-порты при помощи дефолтных идентификаторов.
«Для злоумышленников это проще пареной репы, и каждое подобное сканирование оказывается эффективнее предыдущего, — говорится в отчете Incapsula. — Ботнет позволяет им использовать распределенное сканирование, увеличивая шанс обойти распространенные защитные техники вроде черных списков, ограничения скорости и репутационных фильтров».
Всего исследователями было обнаружено 40 269 IP-адресов, распределенных между 1600 провайдерами из 109 стран, включая США и Индию. При этом 85% маршрутизаторов оказались прописанными в Таиланде и Бразилии.
http://news.softodrom.ru/ap/b22005.shtml