• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
16.10.2020, 19:27
Василий Парфенов
1
6,0 тыс

Загадочный ботнет устройств интернета вещей оказался анонимайзером

Специалисты по кибербезопасности на протяжении нескольких месяцев отслеживали уникальную сеть зараженных устройств (ботнет), радикально отличающуюся ото всех ранее обнаруженных аналогов. Они пришли к выводу, что ее уникальность не только в структуре жертв и языке программирования, на котором написаны исполняемые файлы, но и в предназначении — по всем признакам это секретный анонимайзер, похожий на TOR.

©Bitdefender / Автор: Артем Фомин

Около полугода назад специальные сервера-приманки (honeypot, «горшочек с медом» или «ханипот») компании Bitdefender зафиксировали возросшую активность весьма специфических атакующих программных роботов. От обычных «зловредов», превращающих компьютеры и сетевые устройства в звенья ботнета, они отличались языком программирования. Обычно подобные программы пишут на C, C++ или Pearl, но эти были сделаны на Go.

Помимо этой аномалии, исследователей привлекло и не вполне ясное назначение созданной хакерами сети. Как правило, ботнеты создают для прозаичных киберпреступлений: либо массированных атак типа «отказ в обслуживании» (DoS), либо для выполнения ресурсоемких вычислений, например майнинга криптовалют. Безусловно, кроме этого, почти каждая подобная сеть зараженных устройств выполняет задачи самообеспечения — координацию действий узлов, рассылку вредоносного ПО и сбор данных для последующих атак, но они не являются основной целью.

Обнаруженный специалистами Bitdefender ботнет Interplanetary Storm вел себя совсем нетипично, и они занялись его пристальным изучением. Интригующий отчет об этой работе был опубликован в четверг, 15 октября, на официальном сайте компании. Исследователи пришли к выводу, что, судя по поведению сети, она представляет собой сложный и достаточно продвинутый распределенный сервис по обеспечению анонимности клиентов для удаленных интернет-ресурсов (анонимайзер).

Язык программирования Go
©Google

И слово «клиент» здесь неслучайно — у ботнета обнаружили все признаки коммерческого продукта, рассчитанного на длительную эксплуатацию и работу с постоянной базой оплачивающих подписку пользователей. Ханипоты Bitdefender перехватили достаточное количество файлов Interplanetary Storm, чтобы получить возможность изучить его структуру, особенности атаки, отследить зараженные устройства (ноды) и даже обнаружить контролирующие сервера.

Специалисты по кибербезопасности нашли целую систему обновления исполняемых файлов Interplanetery Storm и отслеживания их версий. Она позволяет совершенствовать функционал и улучшать производительность всего ботнета. Это один из факторов, показывающих, что сеть не просто растет, а находится в стадии активной разработки.

Карта нодов ботнета Interplanetery Storm
©Bitdefender

Размеры ботнета оценивают примерно в девять тысяч зараженных устройств, подавляющее большинство которых работает под управлением операционных систем семейства Unix. На основе косвенных признаков было установлено, что это гаджеты интернета вещей (IoT), сетевые дисковые накопители, роутеры и маршрутизаторы, телевизионные приставки, микроконтроллеры (вроде Raspberry Pi).

Атаки на жертв осуществляют с помощью вполне легитимного, с точки зрения антивирусного ПО, IRC-клиента, который был незначительно модифицирован злоумышленниками. Он использует довольно простой метод получения административного доступа к сетевым устройствам: обращается к ним по протоколу SSH и просто перебирает типовые логины с паролями. Учитывая, что большое количество роутеров, компонентов умного дома и прочего имеющего доступ в сеть IT-оборудования для домашнего использования остается с настройками по «умолчанию», такая тактика проста и эффективна.

Ноды Interplanetery Storm находятся в 98 странах, значительная их часть — в Юго-Восточной Азии: Гонконге, Южной Корее и на Тайване. Примечательно, что в топ-10 государств, где расположено больше всего зараженных устройств, вошли и Россия (336 штук) с Украиной (524 единицы).

Чтобы обезопасить себя и свои гаджеты от подобных атак, специалисты рекомендуют обязательно устанавливать надежные пароли на все интерфейсы доступа к домашнему сетевому оборудованию. И отсутствие роутеров или сетевых дисков не гарантирует безопасность: среди прочего сотрудники Bitdefender выяснили, что Interplanetery Storm способен заражать операционные системы Windows и Android, просто сейчас они не являются основной целью.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Предстоящие мероприятия
17 июля, 10:00
Губкинский университет

Ученые РГУ нефти и газа (НИУ) имени И. М. Губкина разработали синтетическое масло для газопоршневых двигателей, позволяющее снизить расход топливного метана на семь процентов. Продукт разработан в целях импортозамещения в сфере энергетики. Разработка открывает новые возможности распределенной энергетики на Крайнем Севере, Дальнем Востоке и других территориях без центральных сетей.

18 июля, 09:30
Марк Чернов

Археологи часто находят красивые прозрачные кристаллы на стоянках древних людей, живших почти 800 тысяч лет назад. Самое странное, что наши предки не делали из них наконечники для стрел или бусы, а, похоже, просто повсюду носили с собой и бережно складывали в кучи. Испанские ученые нашли объяснение этой странной привычке, понаблюдав за ближайшими родственниками человека — шимпанзе.

17 июля, 15:20
ФизТех

Большой коллектив ученых из Специальной астрофизической обсерватории РАН (п. Нижний Архыз), Астрокосмического центра ФИАН, Крымской астрофизической обсерватории РАН, Санкт-Петербургского государственного университета и МФТИ с коллегами впервые провел комплексный многоволновой анализ переменности блазара Тон 599 за период с 1983 по 2025 год и обнаружил в этих данных скрытый ритм, указывающий на работу двух взаимосвязанных механизмов.

17 июля, 10:00
Губкинский университет

Ученые РГУ нефти и газа (НИУ) имени И. М. Губкина разработали синтетическое масло для газопоршневых двигателей, позволяющее снизить расход топливного метана на семь процентов. Продукт разработан в целях импортозамещения в сфере энергетики. Разработка открывает новые возможности распределенной энергетики на Крайнем Севере, Дальнем Востоке и других территориях без центральных сетей.

16 июля, 15:12
Evgenia Vavilova

Процессы, сопровождающие жизнь черных дыр, интересуют не только теоретиков. Ученые уже знают, что энергия и частицы могут покидать черные дыры и теперь работают над способами эту энергию использовать.

12 июля, 12:24
Марк Чернов

Ученые выяснили, почему интервальное голодание для многих оказывается эффективнее обычных диет. Исследование показало, что ограничение времени для приема пищи избавляет худеющего от изнуряющего ощущения жесткого контроля и при этом позволяет сбросить ровно столько же, сколько при скрупулезном подсчете калорий.

25 июня, 16:20
Любовь С.

Вселенная может оказаться «замкнутой» глобальной структурой, где свет от далеких галактик способен возвращаться к наблюдателю с разных направлений. Именно такой сценарий не удалось исключить авторам нового масштабного обзора. Проверить его предсказания астрономы смогут уже в ближайшие годы.

25 июня, 15:09
Марк Чернов

Ученые впервые на молекулярном уровне доказали, что обычная вода одновременно состоит из двух разных жидких состояний — более плотного и менее плотного, которые непрерывно сменяют друг друга. Раз молекулярная «двойственность» действительно существует, это подтверждает спорную 30-летнюю гипотезу. Новое открытие поможет, наконец, объяснить десятки «странных» физических аномалий воды, включая ее расширение при замерзании и парадоксальное изменение вязкости под давлением.

9 июля, 13:06
Редакция Naked Science

Видеосервисы стали неотъемлемой частью жизни россиян. В 2026 году охваты большинства платформ продолжают расти, в том числе YouTube.

[miniorange_social_login]

Комментарии

1 Комментарий
Не покупайте мощные компы, они часто интересуют ботнеты.